21.10.2018 19:25 | Správy

Exkluzívne Telefonátom by vraj odpálil atómovku: Vyspovedali sme najznámejšieho hackera

Na konferencii vo Varšave Mitnick prezentoval svoje schopnosti. Ukázal napríklad, ako ľahko a nenápadne sa dá naklonovať firemná prístupová karta.
Na konferencii vo Varšave Mitnick prezentoval svoje schopnosti. Ukázal napríklad, ako ľahko a nenápadne sa dá naklonovať firemná prístupová karta. Zdroj: Business Insider Polska, BusinessInsider.com.pl

Rozhovor: Kevina Mitnicka dohnal jeho koníček až za mreže. Dnes radí, ako sa vyhnúť hackerom, akým bol on sám.

Začínal tým, že vybabral so systémom verejnej dopravy v Los Angeles, aby mohol jazdiť autobusmi zadarmo. Neskôr neoprávnene prenikal do telefónnych sietí, až sa napokon dopracoval na zoznam najhľadanejších mužov FBI – už ako jeden z najznámejších hackerov sveta.

Reč je o Kevinovi Mitnickovi, ktorý v piatok prednášal na konferencii Inside Trends poľskej edície magazínu Business Insider vo Varšave. Redakcii Živé.sk sa tak naskytla možnosť známu postavu IT sveta vyspovedať.

Zmenil farbu klobúka

55-ročný Američan bol kedysi takzvaným „black hat“ hackerom. Nabúral sa do systémov viacerých vládnych úradov, ale aj do desiatok veľkých korporácií. Začiatkom 90. rokov tak bol viac než dva roky na úteku pred zákonom.

Vo väzení napokon strávil takmer 5 rokov. Množstvo času dokonca na „samotke“. Vyšetrovatelia vraj totiž presvedčili sudcu, že špecifickým zapískaním do telefónu dokáže aktivovať americký nukleárny arzenál – a to dokonca priamo z väzenia.

Po tomto zážitku však prešiel na druhú stranu a je takzvaným „white hat“, teda etickým hackerom. Ako IT konzultant je jeho úlohou útočiť na systémy klientov a hľadať v nich slabé miesta. Technikou, v ktorej exceluje, je pritom sociálne inžinierstvo – tvrdí, že najslabším článkom každého systému je človek.

Čo sa dočítate v rozhovore:

  • čo Mitnicka viedlo k hackingu a ako ho bral,
  • prečo by nemohol pracovať pre SR a zaisťovať bezpečnosť štátnym systémom,
  • o odporúčaniach pre Slovensko,
  • čoho sa týka nastupujúca generácia kybernetických hrozieb,
  • aký je rozdiel v skrývaní sa pred políciou v minulosti a dnes,
  • či má na konte aj hacky, o ktorých stále nikto nevie.

Neprijal som „čierneho“ hackera

Hovorí sa, že black hat hackeri – útočia pre vlastný zisk a škodu iných – majú vo všeobecnosti dobrý predpoklad stať sa oveľa lepšími etickými hackermi, keďže majú cenné skúsenosti aj z opačnej strany barikády. Je to tak?

Závisí to od jeho celkových schopností. Môžete mať black hat hackera, ktorý je oveľa lepší, ale aj horší. U white hat [etického] hackera je to to isté – ak len išiel na univerzitu, bol v laboratóriách, robil len na určitom druhu aplikácií a podobne, nemusí mať spôsob myslenia skutočného black hat hackera.

Je to ako hrať vo filmoch alebo v televízii. Môžete byť rodený herec bez toho, aby ste vôbec študovali – je to proste vo vás. Alebo môžete mať niekoho, kto je vyslovene vyučený na robenie konkrétnej veci. Osobne verím, že ľudia, ktorí sú od prírody rodenými hackermi, sú v oblasti bezpečnosti najlepší. Teda aspoň po „útočnej“ stránke.

Nezabúdajte, že je množstvo rôznych oblastí bezpečnosti. Mojou prácou je útočiť – nájsť bezpečnostné zraniteľnosti, takže zákazník ich môže opraviť. Druhá strana je obranná – „modrý tím“, ktorý pátra po možných útokoch. V tejto oblasti sa moja firma neangažuje.

Máte aj dnes vo firme kolegov, ktorí mali podobný osud ako vy?

Do mojej spoločnosti som neprijal žiadneho black hat hackera. Nikdy som to nepotreboval, pretože ľudia, ktorých som zamestnal, sú nesmierne zdatní v tom, čo robia. Nikto z nich nebol v minulosti trestaný.

Samozrejme, väčšina bezpečákov kedysi „niečo“ robila, keď boli na strednej či vysokej škole. Povedia vám o tom, ale nikdy za to neboli napríklad zavretí. Robili presne to isté ako ja, ibaže prestali, keď nadišiel patričný čas.

„Je to ,špiónska hra´. Každá krajina hackuje tú druhú, bez ohľadu na čokoľvek.“
Kevin Mitnick

Súčasným negatívnym „trendom“ v oblasti internetovej bezpečnosti je vzostup ransomvéru. Máte už dnes predstavu, čo by mohlo byť ďalšou generáciou kybernetických hrozieb?

Myslím si, že dôjde k zhoršeniu v oblasti internetu vecí - IoT, pretože ľudia kupujú a zapájajú hotové zariadenia tak, ako sú, používajú výrobcami predvolené prístupové údaje, mnoho z týchto zariadení neviete opraviť, ak na ne nevyšla aktualizácia a podobne.

Kalifornia práve schválila zákon, že výrobcovia IoT zariadení nesmú plošne nastavovať jednotné predvolené prístupové údaje, čo je v skutočnosti celkom dobré. Neviem, či také niečo robí aj EÚ, ale internet vecí je ako divoký západ.

Do úvahy pritom musíte vziať aj strojové učenie a umelú inteligenciu. V súčasnosti sa hovorí o botoch alebo botnetoch, ktoré spúšťajú plošné útoky, no nie naozaj masívne útoky. A teraz si zoberte, ako do toho zasiahne strojové učenie a AI – technológie, z ktorých budú útočníci ťažiť. Aké zlé to až môže byť?

Sú zlí Rusi či USA?

Slovenská vláda aktuálne ohlásila, že naše štátne systémy sú hackované takmer dennodenne. Viete povedať, či ide o globálny problém? Čo odporúčate malej krajine, ako je Slovensko, aby sa vedela účinnejšie brániť?

V prvom rade, krajiny napádajú iné krajiny každý deň. Je to súčasťou oboru špionáže a bude to tak pokračovať ešte veľmi dlho.

Takže to, čo môžu urobiť vládne organizácie, aby znížili riziko, je to isté, čo môžu spraviť aj [súkromné] organizácie. V podstate využívať rovnaké procesy a technológie na obmedzenie rizika, zavádzať kontrolné a detekčné mechanizmy. V prvom rade myslieť na prevenciu, detekciu a nápravu (Mitnick takto pripomína tri základné piliere bezpečnosti, pozn. red.).

Avšak vládne organizácie musia byť opatrnejšie, vzhľadom na povahu ich tajných informácií, takže ich kontrolné mechanizmy majú byť striktnejšie.

Napríklad?

Istý druh komunikácie v USA, povedzme ak ide o prezidenta Trumpa, využíva konkrétne typy hardvéru, schválené tamojšou NSA. Takže vlády sa musia, prirodzene, obzerať po podobných sprísnených bezpečnostných riešeniach armádneho charakteru.

Svoje pravé hackerské časy už má Mitnick za sebou. Odkedy sa vrátil z väzenia, pracuje ako bezpečnostný expert, ale zároveň je úspešným autorom kníh a vyhľadávaným rečníkom. fotogaléria / 3
Svoje pravé hackerské časy už má Mitnick za sebou. Odkedy sa vrátil z väzenia, pracuje ako bezpečnostný expert, ale zároveň je úspešným autorom kníh a vyhľadávaným rečníkom. Zdroj: Business Insider Polska, BusinessInsider.com.pl

No aj v USA, ktoré sa veľmi snažia, bolo mnoho hackov vládnych úradov. Takže agentúry v tejto hre stále zaostávajú, pretože majú rovnaký problém – ak sa na ich zamestnancov dá použiť sociálne inžinierstvo, je to cesta dnu.

Sú ale aj iné účinné spôsoby...

Sú. Povedzme, že finančný úrad má portál, cez ktorý môžu ľudia platiť dane, a tento web by mal softvérovú chybu, ktorú môže niekto napadnúť zvonka... Je potenciálne možné, aby bola cez túto webovú aplikáciu hacknutá aj vládna agentúra – aspoň vo vzťahu k dátam, ku ktorým má daný portál prístup.

Prišli by ste aj na Slovensko, keby mala vláda záujem o vaše služby?

Môžu nás kontaktovať, máme globálnych klientov po celom svete. Avšak nie som občanom Slovenska, takže by o mne zrejme vôbec neuvažovali, keďže by som nedostal bezpečnostnú previerku pre prístup k akýmkoľvek utajeným údajom. Takže sa to nestane, je to nereálne.

Čisto hypoteticky, koľko stoja podobné služby?

Naše konzultácie robíme tak, že najprv spravíme vyhodnotenie celkového rozsahu. Čiže závisí na rozsahu daného projektu a až od toho sa odvíja cena.

„Bol som lovcom trofejí. Elegancia hacku bola pre mňa zaujímavejšia než jeho ovocie.“
Kevin Mitnick

V Číne sa vraj mladá generácia vzdeláva s dôrazom na matematiku a kódovanie, mnoho detí tak bude mať predpoklady stať sa expertmi v oblasti bezpečnosti či hackingu. Myslíte si, že by sme tiež mali budovať silnú generáciu, ktorá by vedela čeliť potenciálnym hrozbám?

Keď sa učíte programovať, mali by vás učiť aj bezpečnosti. Kód totiž chcete písať bezpečným spôsobom, aby ste doň nevnášali zraniteľnosti. Takže si myslím, že oboje ide ruka v ruke. Kedykoľvek sa niekto vzdeláva v oblasti vývoja, bezpečnosť by mala byť toho súčasťou.

Stávajú sa podľa vás Čína, Rusko či Severná Kórea lídrami v oblasti hackingu?

Nemám také podrobné informácie, ale je to tak trocha niečo, čo americká vláda v oblasti kybernetickej bezpečnosti opakuje: „Čína je zlá, Rusi sú zlí“. Ale som si istý, že Američania ich hackujú tiež.

Naozaj?

Samozrejme. Je to „špiónska hra“, každá krajina hackuje tú druhú, bez ohľadu na čokoľvek. Takže sa mi nepáči ten prístup, že „tento je dobrý, tamten je zlý“.

Takže budú naďalej pokračovať v hre, kto je zručnejším špiónom. Robili to pred počítačovou dobou a budú to robiť aj po nej.

Mitnick je dlhé roky známy aj svojou vizitkou. Vyrobená je z kovu a obsahuje sadu šperhákov pre otváranie zámok. fotogaléria / 3
Mitnick je dlhé roky známy aj svojou vizitkou. Vyrobená je z kovu a obsahuje sadu šperhákov pre otváranie zámok. Zdroj: Business Insider Polska, BusinessInsider.com.pl

Žiadna závislosť, len obyčajná zábava

Kedysi ste sa skrývali pred FBI. Bolo by také niečo v dnešnej dobe oveľa ťažšie?

Spôsob, akým vás chytia, je viditeľnosť. Keby ma ukázali napríklad v America's Most Wanted (vtedajšia relácia o zločincoch na úteku, pozn. redakcie), možno by ma chytili rýchlo, pretože by bolo navôkol množstvo očí, ktoré ma hľadajú.

V dnešnom svete internetu a obsahu dokážu úrady informáciu o hľadanom dostať k oveľa širšiemu publiku. Je tak, prirodzene, vyššie riziko, že utečenca dolapia – už len použitím sociálnych médií a podobných mechanizmov, nie nejakým super technickým spôsobom, ktorým by vás vláda mohla vystopovať.

Darček pre FBI

Mitnick si toho v 90. rokoch preskákal naozaj veľa a rád rozpráva rôzne príhody. Jednou z nich je spôsob, akým svojho času „vytrolloval“ agentov FBI.


V čase, keď bol na úteku, sa mu podarilo zistiť telefónne čísla vyšetrovateľov, ktorí sa ho snažili vystopovať. Následne si zriadil takzvaný „systém včasného varovania“, ktorý dokázal tieto čísla detegovať v okruhu asi jedného kilometra od jeho apartmánu.


Jedného dňa zistil, že skoro ráno boli agenti v jeho okolí, neprišli ho však zatknúť. Mitnick sa dovtípil, že išlo o prieskum pre potreby vydania príkazu na domovú prehliadku. Ešte v ten deň sa tak zbavil akýchkoľvek kompromitujúcich materiálov a elektroniky – počítačov, ale aj diskiet.


Vyšetrovatelia dorazili hneď na druhý deň ráno. Okrem rozospatého hackera však našli len škatuľu s nápisom „FBI donuts“, teda „šišky pre FBI“.


Mitnick im tak naznačil, že bol o krok pred nimi. Agentov to napálilo natoľko, že sa šiškami neponúkli...

Čo vás viedlo k hackingu? Hovorili ste, že ste sa vo svojich začiatkoch dostali k informáciám o rôznych slabinách sietí. Boli príliš lákavé na to, aby ste ich „nepreskúmali“?

Nie, nie, všetko to začalo phone phreakingom (nabúravanie sa do verejných telefónnych sietí, pozn. redakcie). Chcel som získať väčšiu kontrolu nad telefónnou sieťou, nabúrať sa do nej a ovládnuť telefónne ústredne. Najprv v Los Angeles a neskôr naprieč Spojenými štátmi.

Mojimi prvými cieľmi tak boli operátori, takže som sa chcel naučiť viac o umení ich hackovania, aby som sa k nim vedel nabúrať. A prečo som sa k nim chcel nabúrať? Pretože ak som mal prístup k ústredni, mohol som spraviť čokoľvek som chcel.

Vypočujte si, ako sme podpichli najznámejšieho hackera:

Dalo by sa povedať, že hacking bola u vás až závislosť alebo len obyčajné hobby?

Hobby, koníček, zábava. Nerobil som to pre nejaký účel. Nechcel som na tom zarobiť. Všetko, po čom som túžil, bol zdrojový kód – napríklad telefónov, ako bola Nokia, Motorola a podobne. A chcel som ho na to, aby som ho mohol študovať a pochopiť, ako funguje. Nie na to, aby som ho predal alebo mal hovory zadarmo.

Vtedy to bolo naozaj o pochopení kódu. Povedal by som, že až potom, keď som sa tak veľmi začal baviť prienikmi a kradnutím kódu, sa to pre mňa celé stalo trofejou. Bol som lovcom trofejí. Elegancia hacku bola pre mňa zaujímavejšia než jeho ovocie.

Máte stále nejaké „veci“, povedzme z 90. rokov, ktoré sa o vás ešte nevedia?

Áno, existujú veci, ktoré ešte ostali nevyslovené.

Prezradíte nám príklad? (smiech)

Nie. (hurónsky smiech)

Viac sme sa opýtať za svojich 10 vyhradených minút a dvoch bonusových nestihli. Kevinovi Mitnickovi sme ešte stihli objasniť, že Slovensko je krajina v Európe, nie meno vydavateľa ani titulu, a poprosiť ho o jeho originálne a praktické vizitky z kovu. Keďže nám ich dal viac, o tri z nich sme súťažili na Facebooku. Výhercov nájdete v komentároch pod súťažným príspevkom.

Za možnosť rozhovoru ďakujeme poľskej edícii magazínu Business Insider.

Diskusia 30 Príspevkov