"O dostępie i bardzo wkurzonych agentach federalnych". Najsłynniejszy haker świata ujawnia kulisy swojej pracy
To historia o pasji, nieautoryzowanym dostępie i bardzo wkurzonych agentach federalnych – opisuje biograf Kevina Mitnicka, najsłynniejszego hakera świata. Dość powiedzieć, że wybryki tego faceta na przełomie lat 80. i 90. wywołały obawy, iż Mitnick może włamać się do NORADu i gwizdaniem do telefonu odpalić atak nuklearny. W rozmowie z INNPoland.pl zdradza, jak udało mu się dokonać tych spektakularnych włamów.
Mistrz manipulacji
Ale – i tu bez cienia przesady – Mitnicka można określić jako mistrza inżynierii społecznej. Mówiąc po ludzku – mistrza manipulacji innymi. I o tym właśnie opowiadał na konferencji Inside Trends organizowanej przez Business Insider Polska. To człowiek jest najsłabszym ogniwem niemal każdej struktury bezpieczeństwa i znacznie łatwiej go zmanipulować, niż obejść programowe czy sprzętowe zabezpieczenia.
Ale po kolei. Zanim przejdziemy do przykładów manipulowania ludźmi, krótko o życiorysie Mitnicka, bo z pewnością jest niebanalny. Jako dziecko zdołał nakłonić kierowcę miejskiego autobusu w Los Angeles, by ten wskazał mu „do szkolnego projektu”, gdzie kupuje się kasowniki. Z takim urządzeniem, nabytym za 15 dol., oraz plikiem pustych biletów, który znalazł w koszu na śmieci przy zajezdni, załatwił sobie darmowe przejazdy w całym okręgu.
Kevin Mitnick tłumaczy, jako łatwo skopiować kartę wstępu do firmy.•Fot. Materiały prasowe / Inside Trends
– Skąd fascynacja hakowaniem, jak to się zaczęło? – pytam Mitnicka.
– Byłem żartownisiem – opowiada. – Jako dziecko bardzo interesowała mnie magia. Jeździłem rowerem do pobliskiego sklepu, by oglądać sztuczki, by sprawdzić, jak dana sztuczka działa od kuchni. Interesował mnie ten zakazany owoc wiedzy – wspomina.
W liceum poznał „magika od telefonów”. Ten pokazał mu różne sztuczki, ot np. jak przy użyciu specjalnego kodu, zadzwonić w jakiekolwiek miejsce na świecie za darmo. Wspomina, że lubił robić kawały kolegom, zmieniając konfigurację ich domowych telefonów na płatne – gdy odebrali, to oni de facto płacili za połączenie. W końcu trafił na zajęcia komputerowe w swoim liceum.
– Pan Chris, nauczyciel, nie chciał mnie początkowo przyjąć, ale przyjął, gdy pokazałem kilka sztuczek. Założę się, że do dziś żałuje tej decyzji – śmieje się Mitnick.
Wspomniał, że mocno zainspirował go artykuł o „blue boxach”, małych transmiterach do hakowania analogowych telefonów. Budował je Steve Wozniak, jeden z współzałożycieli Apple’a, a na uniwersyteckim kampusie miał je sprzedawać Steve Jobs, dzięki czemu obaj panowanie mieli sfinansować część kosztów budowy pierwszego komputera. Sam Wozniak w jednym z wywiadów wspominał, że dzięki „blue boxowi” zdołał się dodzwonić do papieża jako Henry Kissinger.
W latach 80. i 90. Kevin Mitnick dokonał głośnych, zuchwałych włamów, m.in. do Motoroli czy Sun Microsystems, jednego z największych wówczas producentów oprogramowania komputerowego, później wcielonego do Oracle.
Atak nuklearny z więziennego telefonu
Mitnick w więzieniu i areszcie odsiedział łącznie niecałe 5 lat, choć nigdy nie postawiono mu zarzutów wzbogacenia się na hakowaniu. W jednym z wywiadów wspominał, że rok spędził w izolacji.
– Oskarżyciel przekonał ławę, że mając dostęp do telefonu, mogę wygwizdać kody dostępu i odpalić atak nuklearny – wspominał.
Kevin Mitnick na Inside Trends.•Fot. Materiały prasowe / Inside Trends
Hakowanie komputerów przebiło się do społecznej świadomości jako coś niebezpiecznego i mrocznego, zarezerwowanego dla wąskiego grona specjalistów. Sam Mitnick, swoją drogą, przez część amerykańskiego społeczeństwa był postrzegany jako swego rodzaju cyfrowy Robin Hood, walczący z bezdusznymi korporacjami.
Wkurzeni agencji federalni
–Gdybyś siedział w tym dłużej, zostałbyś cyberprzestępcą? Byłeś młody, wtedy jest się podatnym na wpływy – pytam.
– Nie, nie sądzę. Już w czasie, gdy byłem poszukiwany listem gończym FBI, wykonywałem różne, legalne prace, pod nieprawdziwymi nazwiskami oczywiście, żeby rząd mnie nie namierzył. Gdybym miał zostać cyberprzestępcą, już wtedy bym to robił, po co miałbym czekać? – odpowiada Mitnick.
Tu warto rozwinąć wątek „wkurzonych federalnych” z wstępu. Mitnick w jednym z wywiadów wspominał, że dzięki ustaleniu numerów telefonów tropiących go agentów oraz włamaniu do sieci telefonicznej, był w stanie monitorować ich lokalizację. – Im bliżej mnie się znajdowali, tym dalej od nich uciekałem – wspominał. W końcu jednak wpadł.
– Uciekałeś im ponad dwa lata. Jak cię złapali? – pytam.
– Namierzyli mnie przez sieć telefoniczną, na podstawie jej wykorzystania. Miałem sklonowany telefon, oczywiście nie na swoje nazwisko, jednak ustalili moje fałszywe nazwisko, dysponowali nadajnikiem radiowym, wówczas zlokalizowanie celu jest trywialne – odpowiada Mitnick.
O jeden włam za dużo
W pewnym sensie jego los przypieczętował o jeden włam za dużo. Tsutomu Shimomura – jak Mitnick – był hakerem, z tą różnicą, że znalezione przez siebie podatności zgłaszał firmom i instytucjom, zanim zdąży je wykorzystać ktoś ze złymi intencjami. Gdy Mitnick włamał się na komputer Shimomury, ten za punkt honoru przyjął pomoc FBI w zlokalizowaniu hakera.
Dziś Mitnick jest konsultantem „dobrej strony”. Jego firma świadczy usługi doradcze i pentersterskie. Pentesterzy to osoby, które na zamówienie danej organizacji, próbują zinfiltrować i obejść jej system zabezpieczeń, by zobaczyć, gdzie są luki, załatać je, zanim je znajdą i wykorzystają „ci źli”.
– Gdy byłem czarnym kapeluszem (czarny kapelusz, „zły haker”, taki, który po znalezieniu podatności, nie informuje o niej lub próbuje na niej zarobić, przeciwieństwo białego kapelusza – przyp. red.], nie było czegoś takiego jak pentesting. Może uniwersytety miały tego rodzaju programy badawcze, ale ogólnie nie było takich usług, a firmy z nich nie korzystały – mówi Mitnick w rozmowie z INNPoland.pl.
Prelekcja Mitnicka na Inside Trends zebrała rekordową publiczność.•Fot. Materiały prasowe / Inside Trends
- Tak. Nie ma systemów uniemożliwiających atak, tylko takie, które utrudniają atakującemu robotę. Mimo wszystko dwustopniowa weryfikacja czy zaktualizowany antywirus nie dają ci gwarancji, podnoszą jedynie poziom trudności – odpowiada Mitnick.
Okręcić człowieka wokół palca
Tu przechodzimy do inżynierii społecznej, popisowej umiejętności Mitnicka. Jak zakręcić innym człowiekiem do tego stopnia, by niejako na srebrnej tacy podał ci to, czego potrzebujesz?
– W ciągu 16 lat, w zleceniach, w których pozwolono nam skorzystać z inżynierii społecznej, bo nie zawsze klient się na to godzi, mamy stuprocentową skuteczność. Jeśli nie wierzycie, zatrudnijcie mój zespół – żartował ze sceny podczas konferencji.
Nie omawiał sucho teorii, skupił się raczej na praktycznych przykładach. Pokazywanych naturalnie w uproszczeniu i przy użyciu dość archaicznych narzędzi, dla lepszego efektu wizualnego. Z oczywistych względów zabroniono uczestnikom nagrywać wystąpienie i robić zdjęcia.
Włam "na Kanadyjczyka"
Mitnick podzielił się zanonimizowaną opowieścią z portfolio własnej firmy, gdy miał za zadanie sprawdzić zabezpieczenia dużej kanadyjskiej firmy handlowej. Ustalił, z usług jakiego amerykańskiego dostawcy chmurowego korzysta ta firma. Okazało się, że dostawca używał tylko amerykańskiej domeny. Mitnick wykupił zatem i skonfigurował domenę o tej samej nazwie, lecz z kanadyjską końcówką „ca”.
Następnie znalazł dyrektorkę HR firmy handlowej, którą infiltrował. Podszył się pod menedżera, poinformował ją na LinkedIn, że chmurowy dostawca wprowadza nowy adres i poprosił, by zalogowała się na podstawionej przez niego fałszywce. Ta wykonała polecenie, a Mitnick dysponował już nie tylko hasłami dostępowymi, ale też np. numerami kont bankowych swojego klienta.
– Całość zajęła mniej niż godzinę, z czego najwięcej czasu pochłonęły formalności związane z wykupem domeny i konfiguracją DNS – mówił. Dodał, że zdobycie zaufania jest kluczowe w inżynierii społecznej. I że Polacy - jego zdaniem - są nieco lepiej zaimpregnowani niż Amerykanie czy Brytyjczycy, bo z natury i uwarunkowań kulturowych, są bardziej nieufni.
Pokazał też cały szereg innych przykładów. Jak łatwo przeprowadzić atak phishingowy, polegający się na podszywaniu pod zaufaną instytucję, najczęściej mailowo. Zalogowanie się na takiej podstawionej stronie daje wielką władzę atakującemu – może podejrzeć maile, wysyłać je w czyimś imieniu, w końcu zaszyfrować i domagać się okupu za ich odblokowanie.
Karta skopiowana w toalecie
Mitnick pokazał uczestnikom kabel USB do ładowania. Nic podejrzanego, działa jak zwykły kabel. Jednak został zmodyfikowany. Dzięki małemu transmiterowi bluetooth Mitnick mógł aktywować kabel podłączony do danego urządzenia, którego efektem była instalacja złośliwego oprogramowania. Prościzna w kategoriach inżynierii społecznej, w końcu jak potrzebujemy podładować urządzenie, sprawdzamy, czy wtyczka pasuje do wejścia telefonu i podłączamy, bez dokładnych oględzin.
Zademonstrował też, choć z małymi problemami, jak łatwo skopiować kartę dostępową do budynku. I znów – z historii własnej firmy – opowiedział, jak – będąc w toalecie – skopiował kartę któregoś z pracowników firmy.
– To mały czytnik, wystarczy przyłożyć w pobliże karty. W toalecie patrzysz przed siebie, nie w prawo czy lewo, to ułatwia zadanie. Wystarczy włożyć czytnik w coś nie wzbudzającego podejrzeń, np. etui na komputer, i z nim pod pachą podejść w toalecie do takiej osoby – mówił.
Przebrany kurier bez furgonetki
– Opowiedz mi o przykładzie inżynierii społecznej, z którego jesteś szczególnie dumny – pytam. Mój rozmówca chwilę się zastanawiał, szukając czegoś w pamięci.
– To akcja z czasów, gdy byłem nastolatkiem. Chciałem zdobyć kopię narzędzia do monitorowania sieci jednej z firm. Ustaliłem, że jej siedziba jest w Los Angeles, jakieś pięć mil od mojego domu, i że to tak naprawdę dom, co nasunęło skojarzenie, że to garażowy biznes. Udało mi się ustalić numery telefonów przypisane do tego domu, jednak próbując włamać się tamtędy, potrzebowałem hasła.
– I poszedłeś w inżynierię społeczną? – dopytuję.
– Dokładnie. Ustaliłem, że mój cel korzysta z DeCnet [protokół sieciowy z lat 80. do łączenia w jedną sieć różnych rodzajów komputerów – przyp. red.] firmy Digital Equipment Corporation, później wchłoniętej przez Compaq, a następnie HP. Podszywając się, zdobyłem najnowszy zestaw aktualizacyjny, dystrybuowany wtedy na takich kartridżach. Gdy go dostałem, wgrałem trojana, zapakowałem jak oryginał, potrzebowałem nowego opakowania, na starym był mój domowy adres, i udałem się do wypożyczalni kostiumów kilka przecznic dalej. Tam wypożyczyłem mundur kuriera UPS i o 7:30 rano zapukałem do mojej ofiary. Pierwsze co zrobiłem, to poprosiłem, by wpuścił mnie do środka – opowiada.
– Dlaczego? – dziwię się.
– Nie miałem furgonetki UPS. Widać było po nim, że go wyrwałem z łóżka. Sam się dziwiłem, że nie zauważył braku furgonetki i pozwolił mi wejść. Podpisał mi formularz doręczenia, odebrał paczkę i tyle. Z początku myślałem, że mi się nie uda, przez trzy tygodnie codziennie sprawdzałem, czy coś się zadziało, w końcu zainstalował moją podróbkę, a ja zdobyłem to, czego szukałem – wspomina.
– Dziś wszystko załatwiamy zdalnie, ale podszywanie się wciąż działa.
– Oczywiście. Inżynieria społeczna to najczęstszy wektor ataków, zarówno wśród hakerów na usługach rządów, jak i cyberprzestępców. Zdecydowana większość ataków zaczyna się phishingiem, od emaila. Przy odpowiedniej konfiguracji wystarczy, że ofiara otworzy maila, nie musi nawet w nic dalej klikać – odpowiada Mitnick.
Kevin Mitnick wyjaśnia, czym jest inżynieria społeczna.•Fot. Materiały prasowe / Inside Trends
– Trudno odpowiedzieć z całą pewnością, o części ataków w ogóle nie wiemy, o innych – jak zostały przeprowadzone. Ale myślę, że odpowiedzią na twoje pytanie jest przypadek Equifax, jednego z największych biur informacji gospodarczej w USA. Wiedzieli, na czym polega podatność w ich systemie, ale niczego z nią nie zrobili, w efekcie wyciekły informacje o ponad 140 mln Amerykanów, w tym numery kart kredytowych, numery ubezpieczeń czy dokumentów tożsamości – odpowiada Mitnick.