Hakujcie dla sportu!

Z Kevinem Mitnickiem, słynnym hakerem, autorem książki "Sztuka Podstępu" rozmawiają Jarosław Rokicki i Rafał Janus.



Ciekawostki | Dvd,Mp3 | Ebiznes | Gry komputerowe | Internet | Kościół i Internet | Oprogramowanie | Sprzęt |


Hakujcie dla sportu!

Z Kevinem Mitnickiem, słynnym hakerem, autorem książki "Sztuka Podstępu" rozmawiają Jarosław Rokicki i Rafał Janus

Rafał Janus: Przeszedłeś do historii jako jeden z największych hakerów. Jak Ci się podoba Twoje nowe życie? Jakie teraz stoją przed Tobą wyzwania?

Kevin Mitnick: Jednym z elementów zajmowania się hakerstwem jest dreszcz emocji związany z faktem, że trafiamy do miejsc, w których nie powinno nas być. Jesteśmy nieco podstępni, ale nasze działania przypominają trochę poszukiwanie skarbów. W obecnej pracy nie ma miejsca na tego typu odczucia. Pisanie jednak sprawia mi ogromną przyjemność i nawet pracuję już nad kolejną książką. Prawdopodobnie uzupełnię też zawartość "Sztuki Podstępu", która zostanie wydana również w miękkiej oprawie. Aktualne wydanie książki w USA zostało wydrukowane w twardej oprawie - tutaj [w Polsce] książka została wydana w obu.

W przeszłości byłem osobą, która z niezwykłą łatwością znajdowała sposoby na penetrację systemów komputerowych, manipulowanie technologią oraz znajdowanie dziur w oprogramowaniu. Znałem również techniki zwodzenia ludzi, które pozwalały mi dostać się do ich systemów. Teraz, kiedy profesjonalnie zajmuję się ochroną systemów i pomagam firmom, czy agencjom rządowym w zabezpieczaniu danych, wyzwania są takie same - tyle że teraz płacą mi za włamywanie się do systemów.

Jarosław Rokicki: Jest takie znane przysłowie: "ciągnie wilka do lasu". Czy ciąży na Tobie cień przeszłości? Nie brakuje Ci emocji związanych z nieautoryzowaną penetracją systemów komputerowych?

Nie param się już nielegalnym hakerstwem, więc zniknął "dreszczyk emocji" związany z tym, że trafiamy do miejsc, w których nie mamy prawa być. Mam już jednak 39 lat i nie potrzebuję już tego rodzaju emocji. Teraz mam rodzinę, o którą muszę zadbać. Mam już inne cele - będąc hakerem, żyłem z dnia na dzień - to była gra, hobby. Nie robiłem tego, aby zarabiać pieniądze, krzywdzić ludzi czy też niszczyć dane. Teraz, kiedy jestem dorosły i straciłem 5 lat z mojego życia (ponieważ spędziłem cztery i pół roku w więzieniu) chcę żyć moim marzeniem o posiadaniu rodziny i udanej karierze zawodowej. Teraz, kiedy jestem po drugiej stronie barykady, pragnę wykorzystywać umiejętności nabyte w tamtych czasach, aby pomagać firmom w kwestiach bezpieczeństwa.

Jarosław Rokicki: Czym zajmowałeś się po wyjściu z więzienia? Jak wiemy nie mogłeś korzystać ze swoich umiejętności i kochanych zabawek, takich jak komputery czy telefon komórkowy...

Po wyjściu z więzienia proponowano mi pisanie artykułów prasowych. Jedna z propozycji pochodziła od Stevena Brilla wydawcy pisma Brill's Content. Oferta dotyczyła pisania artykułów, krytykujących pisma komputerowe, dla jego internetowej strony Contentville. Rząd jednak nie pozwolił mi skorzystać z tej oferty, ponieważ byłem na trzy letnim okresie warunkowym i nie wolno było mi pracować w charakterze konsultanta, czy doradcy dla nikogo kto używa komputer. Było to śmieszne, ponieważ w Stanach wszyscy używają komputera. Musiałem więc wrócić do sądu i zaskarżyć tę decyzję. Sędzia ani nie przechylił się do mojej prośb,y ani jej nie oddalił. Jednak biuro kuratora sądowego stało się bardziej rozsądne jeśli chodzi o podejmowanie przeze mnie pracy i zezwolono mi na uprawianie zawodu dziennikarza.

Wkrótce zacząłem też prowadzić radiowy "talk show" pt. "Dark Side of the Internet", emitowany przez dużą stację radiową w Los Angeles. Założeniem programu było przybliżenie słuchaczom zasad działania Internetu i rozwianie mgiełki tajemniczości otaczającej sieć. Podczas programu opowiadałem ludziom o zaletach Internetu i wspaniałych rzeczach, które można dzięki sieci odnaleźć, jak również o tych miejscach i aspektach surfowania po Internecie, których należy się wystrzegać. Podczas programu poruszałem również zagadnienia związane z prywatnością i bezpieczeństwem w sieci. Zabawne w całej sytuacji było to, że opowiadałem słuchaczom o ciekawych miejscach w Internecie, nie mogąc osobiście dotknąć klawiatury. Stałem jednak tuż za współpracownikiem ze stacji i instruowałem go, gdzie i co ma zrobić. Obostrzenie było więc głupie, bo nie ma różnicy czy sam będę wystukiwał komendy na klawiaturze czy też będę mówił osobie przy siedzącej przy komputerze co i jak ma zrobić - efekt jest ten sam. W tym czasie jeździłem również po całych Stanach Zjednoczonych z odczytami na temat bezpieczeństwa i socjotechniki. To jest moja pierwsza podróż za granice USA, a Polska jest pierwszym krajem europejskim, który odwiedzam. Przez 15 lat obowiązywał mnie zakaz opuszczenia kraju i nie mogłem nawet opuścić granic Kalifornii bez stosownego zezwolenia. Po raz pierwszy mam więc okazję podziwiać obcy kraj i zetknąć się z obcą kulturą i zwyczajami.

Jarosław Rokicki: Jak doszło do założenia przez Ciebie własnej firmy?

Założenie firmy zajmującej bezpieczeństwem było kolejnym logicznym krokiem postawionym na drodze do realizacji moich marzeń, o których wspominałem wcześniej. Firmę "Defensive Thinking" założyłem niedawno, a jej działalność koncentruje się generalnie wokół trzech podstawowych aspektów. Pierwszym z nich jest organizowanie szkoleń, mających zwiększyć świadomość w sprawach bezpieczeństwa. W tym celu rozwijamy współpracę z uczelnią, która prowadzi wykłady z zakresu bezpieczeństwa, np. dotyczących certyfikatów takich jak CISSP, która będzie polegała na organizowaniu przez naszą firmę seminariów poświęconych socjotechnice. Z wykładami będziemy więc jeździć po całych Stanach Zjednoczonych, podobnie jak robiłem to prywatnie do tej pory.

Jarosław Rokicki: Czy działalność firmy "Defensive Thinking" ogranicza się tylko do organizacji prelekcji i wykładów?

Nasza firma zajmuje się również ocenianiem poziomu bezpieczeństwa u naszych zleceniodawców. Firmy zatrudniają nas, abyśmy zlokalizowali potencjalnie luki w technologicznych zabezpieczeniach firmy czy też w procedurach w niej stosowanych. Lokalizujemy więc najsłabsze ogniwa w infrastrukturze firmy po to, aby zabezpieczyć obszary wystawione na ataki zmierzające do penetracji systemów firmy. Trzecim aspektem naszej działalności są usługi w zakresie instalacji i zabezpieczania bezprzewodowych sieci komputerowych. W USA sieci bezprzewodowe wykorzystujące standard 802.11 są niezwykle rozpowszechnione. Powoli staje się to problemem, ponieważ duża liczba firm, a nawet prywatnych użytkowników buduje sieci bezprzewodowe, które nie posiadają żadnych zabezpieczeń. Pomagamy więc firmom zniwelować niebezpieczeństwo i zabezpieczyć miejsca szczególnie narażone na ataki.

Rafał Janus: Trudno mi uwierzyć, w to że ludzi można oszukać tak łatwo, jak opisujesz to w swojej książce. Czy rzeczywiście ? Jak to możliwe?

Oczywiście. Wystarczy znać i wykorzystać właściwe mechanizmy psychologiczne, które można wywołać stosując odpowiednie bodźce. Ludzie którzy znają się na psychologii i ją rozumieją potrafią w bardzo łatwy sposób manipulować innymi osobami. Dla mnie jest to bardzo proste. Socjotechnik przede wszystkim musi być dobrym aktorem, mieć dobrą i prawdopodobną historię do opowiedzenia, a także musi dokładnie zbadać cel ataku - zdobyć jak najwięcej informacji na temat struktury firmy, procedur i ludzi w niej pracujących. Socjotechnik musi wymyślić dobry pretekst, który wyda się ofierze rozsądny i prawdopodobny, a przede wszystkim taki, aby cel był przekonany o tym, że socjotechnik jest uprawniony do uzyskania poszukiwanych przez niego informacji czy też zlecenia konkretnego zadania. Próbki socjotechniki, na co dzień możecie obserwować w swoich mailach. Nieustannie przychodzą na do was informacje ostrzegające przed groźnymi wirusami i namawiające do otwarcia załączonego pliku w celu zabezpieczenia komputera przed opisywanym w mailu wirusem - w wielu przypadkach otwarcie tego właśnie pliku spowoduje zainfekowanie waszego systemu wirusem.

Rafał Janus: To stosunkowo prosta, znana metoda, której nie można uznać za bardzo skuteczną. Domyślam się, że socjotechnicy dysponują szerszym wachlarzem metod działania.

To prawda, istnieją zdecydowanie bardziej wysublimowane metody ataków socjotechnicznych. Atakujący zwykle bierze pod uwagę cały system i stara się przewidzieć kolejne kroki podejmowane przez ofiarę. Atakując ofiarę, socjotechnik wykorzystując znajomość psychologii i jest zawsze kilka kroków przed ofiarą, znając procedury operacyjne i zwyczaje w firmie potrafi przewidzieć sposób reakcji celu i jest przygotowany aby odpowiednio na nie zareagować. Ma to też wiele wspólnego z anonimowością i odczłowieczeniem pracowników, szczególnie w dużych korporacjach, w których nie znasz wielu twarzy swoich współpracowników, czy głosu przez telefon. W takich firmach bardzo łatwo jest się podać za jednego ze współpracowników. Jeżeli ktoś jest sceptyczny, co do twojej tożsamości prosisz go, żeby oddzwonił do Ciebie na jeden z firmowych telefonów. Tymczasem mając odpowiedni sprzęt można z łatwością wpiąć się do sieci firmy czy też do sieci firmy telekomunikacyjnej i monitorować połączenia wewnątrz korporacji. Kiedy atakowana osoba zdecyduje się zadzwonić socjotechnik przechwytuje rozmowę telefoniczną, a ofiara, słysząc jego głos w słuchawce, wyzbywa się wszelkich wątpliwości.

To nie jedyny sposób. Wiele korporacji w obecnych czasach używa poczty głosowej, która jest zabezpieczona łatwymi do rozszyfrowania hasłami. Chcąc np. udawać pracownika tej firmy mogę "porwać/wykraść" skrzynkę poczty głosowej, włamać się do niej i zamienić wiadomość powitalną pracownika, który jest uprawniony do posiadania informacji, której szukam własnym nagraniem. Następnie dzwonię do innego pracownika firmy i podaję się za osobę, której podmieniłem nagranie i proszę o potrzebne informacje czy też wykonanie czynności, która pozwoli się do nich dostać. Na koniec rozmowy oczywiście proszę o oddzwonienie na firmowy telefon i kiedy ofiara usłyszy mój głos w poczcie głosowej, będzie już w pełni przekonana do tego, że miałem prawo zażądać dostarczenia mi potrzebnych informacji. Wtedy pozostawia je, zgodnie z moim życzeniem, w skrzynce poczty głosowej bez żadnych już wątpliwości. Następnie kasuję nagraną przeze mnie wiadomość i zacieram ślady bytności w systemie. W pracy zwykle nie ma czasu na weryfikowanie każdego telefonu od osoby, której głosu nie rozpoznajemy. Gdyby pracownicy to robili, nie mieliby prawdopodobnie czasu na wykonywanie podstawowych obowiązków. Pomyśl, ile razy w dużej korporacji dzwonią współpracownicy, których głosów nie rozpoznajemy. Czasami więc znacznie upraszczają sposób weryfikacji i opierają go na określonych i znanych socjotechnikowi schematach postępowania. Socjotechnik zna te schematy i przekonuje ofiarę, aby dostarczyła wymaganych informacji bez dokładnej weryfikacji tożsamości.

Jarosław Rokicki: W swojej książce opisywałeś, wiele przypadków, w których ludzie w swej naiwności bez skrupułów wyjawiali atakującemu swoje hasła i inne prywatne informacje. Jak to się robi?

Generalnie nie polega to na wydobyciu informacji bezpośrednio od atakowanej osoby. Jeżeli pytamy się kogokolwiek o hasło, od razu staje się on podejrzliwy. W dzisiejszych czasach ludzie są znacznie mądrzejsi i bardziej świadomi zagrożeń. W tym wypadku należy połączyć umiejętności techniczne z elementami socjotechniki. Powiedzmy, że pracownik użytkujący konkretny komputer próbuje wejść do sieci po przez Telenet czy HTTP. Haker buduje tzw. "summer site" - fałszywą witrynę imitującą tę, do której pracownik próbuje się zalogować. Kiedy próby łączenia z oryginalną witryną będą przekierowane na fałszywą witrynę, haker wykonuje telefon do ofiary z historią, która nakłoni użytkownika do ponownej próby logowania - tym razem na fałszywej stronie. Wpisywane hasło przechwytuje programowo haker i likwiduje fałszywą witrynę. Użytkownik nieświadomie zdradza swoje hasło - nie w trakcie rozmowy, ale wystukując je na klawiaturze swojego komputera.

Użytkownicy Unixa, szczególnie ci niskiego poziomu, nie mają zwykle pojęcia o ogromnym znaczeniu pliku .rhost, który można przechowywać w swoich katalogach. Jest to plik, w którym znajduje się lista stacji i użytkowników, którzy mogą wejść do systemu bez podawania hasła. Jeżeli w pliku nazwy zostaną zastąpione dwoma plusami, komputer wpuści do systemu każdego użytkownika z każdego zakątka świata bez potrzeby podawania loginu i hasła. Trik jest możliwy wyłącznie dzięki "niewiedzy" użytkowników takich systemów, którzy nie zdają sobie sprawy z wagi tego pliku. Wystarczy więc, aby socjotechnik zadzwonił do wybranej osoby z pomysłowym kłamstwem, dzięki któremu przekona atakowanego, aby ten pod dyktando hakera stworzył, czy tez zamienił istniejący plik.

Haker jest w systemie, a użytkownik nawet nie ma pojęcia, że został skutecznie zaatakowany! Wykorzystując więc własną wiedzę i jej brak u ofiar, haker potrafi przekonać ofiarę, aby wykonała kilka drobnych, nieistotnych (w jej mniemaniu) czynności w systemie, dzięki którym jest w stanie dostać się do niego. Luki w podstawowej wiedzy na temat działania wykorzystywanego systemy znacznie ułatwiają prace hakerom.

Jarosław Rokicki: Co na temat twojego przejścia na drugą stronę barykady sądzi środowisko hakerskie?

Wielu ludzi, zajmujących się niegdyś hakerstwem zrobiło to samo - przenieśli się do sektora komercyjnego i świadczą usługi w zakresie bezpieczeństwa. Hakerzy dorastają i zdają sobie sprawę z faktu, że muszą zarabiać na życie. Dzięki temu wciąż mogą hakować, tym razem legalnie i zarabiać dzięki temu pieniądze. Jest jeszcze inny sposób przejścia na drugą stronę, polegający na tym, że haker zaczyna pracować dla policji po to, aby pomagać wsadzać do więzienia innych członków społeczności hakerskiej. Takich ludzi nazywamy informatorami lub po prostu kablami - ja nigdy nie podejmę tego rodzaju współpracy. Są to osoby, które chcą łapać innych aby wsadzać ich do więzienia - nie jestem zainteresowany taką pracą.

W mojej pracy koncentruję się na pomaganiu firmom w ochronie ich systemów przed atakami z zewnątrz. Jeżeli ktoś, dzięki moim zabezpieczeniom zostanie wykryty i złapany - decyzja, co z nim zrobić, nie należy do mnie. Decyzja o zaskarżeniu lub nie intruza, zależy wtedy wyłącznie od polityki danej firmy.

Jarosław Rokicki: Czy miałeś tego typu propozycje od organów ścigania, a jeśli tak to jakie?

Nie, nigdy mi tego nie proponowali, ponieważ wiedzieli, że się na to nie zgodzę!

Rafał Janus: Czy myślałeś o "zmianie stron" zanim zostałeś złapany? Jeśli tak, to dlaczego tego nie zrobiłeś?

Oczywiście, że myślałem. W 1987 r. zostałem zatrudniony przez bank Security Paccific National Bank - jako analityk do spraw bezpieczeństwa. Nie miałem wtedy na swoim koncie żadnego wyroku sądowego, ale miałem już ustaloną reputację. Na dzień przed rozpoczęciem przeze mnie pracy wiceprezes banku, kobieta, która mnie zatrudniała, dowiedziała się o mojej niesławnej przeszłości i dzięki temu zostałem zwolniony zanim zacząłem pracę. Powstał wtedy mit o tym, że w ramach zemsty, przy użyciu nie do końca sprecyzowanych środków dokonałem nieautoryzowanego przelewu z banku, narażając go na wielomilionowe straty. Nigdy jednak tego nie zrobiłem, to się nie zdarzyło - był to tylko wymysł.

O zmianie stron myślałem więc już w 1987 roku. Niestety, nie miałem możliwości zatrudnić się jako specjalista do spraw bezpieczeństwa, ponieważ w tamtych czasach poza bankami, żadne instytucje nie myślały poważnie o zabezpieczaniu swoich danych. Ze względu na moją reputację żadne instytucje finansowe nie chciały mnie zatrudnić, ponieważ bały się tego, co mogę zrobić. Nie miało znaczenia, że nie miałem zamiaru działać na szkodę tych instytucji i że nigdy nie czerpałem zysków z działalności hakerskiej - ponieważ tego rodzaju działalność, w moim mniemaniu była "tradycyjnie" kryminalna. Penetrowanie systemów komputerowych było dla mnie po prostu zabawą - nie myślałem o tym jako o działalności przestępczej. Po prostu dobrze się bawiłem. Traktowałem to podobnie jak nieautoryzowaną przejażdżkę samochodem rodziców.

Jarosław Rokicki: Podczas konferencji prasowej w Warszawie powiedziałeś, że nie znasz żadnych przypadków cyberterroryzmu, i że światowe rządy robią ogromy szum wokół tej sprawy, aby zdobyć więcej władzy i pieniędzy na różnego rodzaju agencje i organizacje, które wpływają na ograniczenie wolności jednostki. Czy nagłaśnianie niebezpieczeństw związanych z atakami socjotechnicznymi nie ma podobnego podłoża? Niektórzy mogą odnieść wrażenie, że zarówno twoja działalność gospodarcza jak i promowana przez Ciebie książka służy do tego, aby przekonać świat, że Kevin Mitnick jest jedynym ratunkiem przed plagą ataków socjotechnicznych. Jak byś to skomentował?

Dobra uwaga - choć porównanie zagadnień związanych z bezpieczeństwem jest sporym skokiem myślowym. Jest wiele firm zajmujących się tematyką bezpieczeństwa - jestem jednym z wielu. Jeśli chodzi o nacisk na socjotechnikę - kiedy hakowałem 50 procent ataków przeprowadzałem używając tych technik i niemal w 100 procentach były one skuteczne. Dzięki moim kontaktom z podziemiem hakerskim, wiem, że metody te wciąż są stosowane, a nikt nic nie robi, żeby przeciwdziałać takim atakom.

Przygotowując się do ataku haker analizuje całą strukturę firmy i stara się odnaleźć najsłabsze jej ogniwo. Może być to zarówno luka w systemie zabezpieczeń technologicznych, niewłaściwe procedury operacyjne czy też nieodpowiedzialny pracownik. Do systemu firmy, można tez się dostać wykorzystując zewnętrznych współpracowników sprzątających w firmie czy też wykonujących dla niej inne drobne usługi.

Nie wykorzystuję socjotechniki jako pretekstu, który pozwoli mi sprzedać własne usługi i inni szanowani specjaliści od spraw bezpieczeństwa zgadzają się ze mną, że istnieje realne zagrożenie atakami socjotechnicznymi. Sposobów na penetrację zabezpieczeń systemu jest wiele, a haker wybierze zawsze ten najłatwiejszy. Jedyną nadzieją na ochronę przed tego typu atakami jest uświadomienie ludziom zagrożenia i zapoznanie z najczęściej stosowanymi trikami.

Kiedy socjotechnik wykorzysta w ataku jeden z opublikowanych trików, ofiara ma szansę rozpoznać atak socjotechniczny i odpowiednio na niego zareagować. Choć rzeczywiście niektórzy mogą myśleć, że moje działania mają wyłącznie na celu przekonanie potencjalnych klientów do kupienia mojej usługi, osobiście uważam, że zastosowanie zalecanych przeze mnie zabezpieczeń będzie podyktowane zdrowym rozsądkiem.

Jarosław Rokicki: Jak myślisz: czy Twoja książka w większej mierze będzie odbierana jako zbiór porad i sposobów na oszukanie ludzi, czy też okaże się instrumentem wspomagającym ich bezpieczeństwo?

Podobna kontrowersja istnieje w dziedzinie udostępniania danych, dotyczących dziur w systemach. Jestem zwolennikiem pełnego ujawniania tego rodzaju informacji, ponieważ zmusza to producenta do szybkiej aktualizacji. Publikacja informacji na temat dziur systemowych wytrąca również atut z ręki hakera. Zazwyczaj dziury w systemach jako pierwsi znajdują hakerzy. Jeżeli informacja pozostanie "tajemnicą", wiedze na ten temat będą mieli wyłącznie złoczyńcy. Szarzy użytkownicy systemów, pozostaną w nieświadomości i będą łatwymi celami dla atakujących hakerów. To tak, jak w życiu codziennym: prasa i telewizja wciąż opisują zdarzające się oszustwa, przekręty i próby naciągania naiwnych osób. Znając mechanizmy stosowane przez oszustów, jesteśmy w stanie się przed nimi obronić.

Jarosław Rokicki: Którą z dokonanych przez Ciebie akcji uważasz za najłatwiejszą?

Zdecydowanie najłatwiejsze było włamanie do Motoroli. Byłem wtedy ścigany listem gończym i pracowałem w firmie prawniczej pod przybranym nazwiskiem. Jeden za pracowników firmy nabył właśnie nowy aparat - Motorola MicroTalk Ultralight - pragnąłem więc posiąść kod źródłowy oprogramowania tego telefonu. Ok. godziny 15 wyszedłem więc z firmy i udałem się do budki telefonicznej oddalonej o 15 minut drogi spacerem od mojego biura. Zadzwoniłem na darmowy numer informacyjny (0800) Motoroli z prośbą o numer telefonu do oddziału zajmującego się produkcją telefonów komórkowych. Uzyskałem wtedy numer do centrali firmy, gdzie zadzwoniłem podając się za pracownika firmy z innego oddziału i poprosiłem o nazwisko osoby stojącej na czele projektu Micro Talk. Zostałem wtedy przełączony do kogoś innego - zresztą kilkakrotnie wtedy mnie przełączano -i za każdym razem opowiadałem tę samą historię. W końcu dotarłem do menadżera wyższego szczebla, który powiedział że projektem zajmuje się kobietą o imieniu Pam, która dla niego pracuje. To on podał mi jej numer wewnętrzny. Kiedy zadzwoniłem na podany numer usłyszałem, głos nagrany na sekretarce mówiący "Jestem na dwutygodniowym urlopie, do tego a tego dnia, w razie jakichkolwiek kłopotów kontaktujcie się z Alicją pod numerem telefonu..." Zadzwoniłem natychmiast pod podany numer telefonu i zapytałem czy Pam jest wciąż na urlopie, kiedy odpowiedziała, że tak zapytałem się czy powiedziała jej o projekcie, nad którym pracujemy, zaprzeczyła więc zacząłem ją "wprowadzać w szczegóły" opowiadając zmyśloną historię. Przekonałem ją, że jestem pracownikiem innego oddziału, i że wspólnie z Pam pracujemy nad nowym projektem, przy którym niezbędny będzie kod źródłowy oprogramowania tego konkretnego telefonu. W niecałe 15 minut przekonałem ją do przesłania pełnego kodu źródłowego do wybranego przeze mnie providera Internetu w Kolorado... Byłem zaskoczony, że tak łatwo mi poszło! Wyobraź sobie teraz te miliony dolarów wydawane przez Motorolę na zabezpieczanie swoich systemów...

Jarosław Rokicki: ...a najtrudniejsze zadanie?

Najtrudniejszym zadaniem było zdobycie informacji od brytyjskiego naukowca, który specjalizował się w odnajdowaniu dziur w systemach bezpieczeństwa. Człowiek ten miał ogromną wiedzę na temat bezpieczeństwa i stosował ją w praktyce. Jego domowy komputer, na którym znajdowały się pożądane przeze mnie dane nie był w żaden sposób podłączony do sieci - dodam, że człowiek ten mieszkał w Wielkiej Brytanii a ja byłem w tym czasie w USA. Bez problemów natomiast włamywałem się do komputerów jego pracodawców, przechwytując w ten sposób część jego maili.Był to rodzaj zabawy w kotka i myszkę. Gdy tylko dowiedziałem się, że gość będzie zmieniał miejsce zatrudnienia, włamałem się do jego nowego pracodawcy zanim zaczął tam jeszcze pracować. Dzięki temu wiedziałem do kogo ów człowiek przesyła informacje na temat znalezionych luk w systemach. Zadzwoniłem więc naukowca podając się za osobę współpracującą z człowiekiem i powiedziałem mu, ze tworzymy bazę danych znalezionych przez niego luk w systemie po to aby szybko móc je naprawiać. Korespondowaliśmy więc przez kilka tygodni, podczas których zdobyłem jego zaufanie zdradzając mu informacje na temat luk, o których on sam nie wiedział. Po jakimś czasie napisałem do niego dramatyczny list, w którym prosiłem go o przesłanie wszystkich jego materiałów ponieważ mieliśmy awarię dysku, który nie miał wykonanej kopii zapasowej. i wszyscy są wkurzeni. Wmanewrowałem więc go w to aby sam przesłał mi informacje, o które się starałem. Po wyjściu z więzienia spotkałem się z nim na obiedzie aby zakopać topór wojenny - wciąż jednak, po 15 latach od zdarzenia był na mnie wściekły!

Jarosław Rokicki: Jaka technologia Twoim zdaniem będzie najszybciej rozwijała się w najbliższych latach?

Technologia bezprzewodowa. Tego rodzaju technologia będzie coraz łatwiej dostępna i wkrótce będzie wykorzystywana na całym świecie. Pojawi się więcej urządzeń bezprzewodowych na rynku dostępnych dla każdego konsumenta. Np. Blutooth - choć jest już obecna w naszym życiu, inżynierowie wciąż starają się ją ulepszać. Mamy 802.11, co w przyszłości stworzy nowe wyzwania w dziedzinie bezpieczeństwa. W przypadku technologii bezprzewodowej informacja podróżuje w powietrzu i jeśli podczas przesyłania danych nie jest odpowiednio zabezpieczona odpowiednim kodowaniem (czy też system kodowania nie działa poprawnie), przestępcy mogą zawsze ją przechwycić. Wielkie możliwości niosą ze sobą jeszcze komputery kwantowe - ale nie mam na ten temat wystarczającej wiedzy, aby inteligentnie się na ten temat wypowiadać.

Rafał Janus: Jak myślisz co byś teraz robił, gdybyś nie został ujęty przez FBI?

Prawdopodobnie wciąż byłbym uciekinierem - w tym okresie byłem ścigany listem gończym. Gdyby mnie nie złapali, mógłbym np. pracować pod fałszywym nazwiskiem w branży IT, w Północnej Karolinie. Nie wiem, co by się wtedy zdarzyło. Mógłbym też np. przyjechać do Europy. Mógłbym nawet pracować w waszej redakcji PC World Komputer tuż obok was - nieświadomych mojej prawdziwej tożsamości ;-)

Jarosław Rokicki: Czy w takim razie mógłbyś powiedzieć kilka słów specjalnie dla młodych entuzjastów technologii komputerowej czytających PC World Komputer?

Chciałbym zachęcić młodych ludzi, zainteresowanych komputerami i hakerstwem, aby starali się współzawodniczyć z najnowszymi osiągnięciami techniki komputerowej, które w obecnych czasach są łatwo dostępne i tanie. W latach mojej młodości, kiedy zaczynałem hakować sprzęt komputerowy był niezwykle drogi i przeciętnych ludzi nie było stać na własny komputer. Mówię tu czasach przed wprowadzeniem na rynek komputerów PC, które pojawiły się w 1981r. Ponieważ w tej chwili sprzęt komputerowy jest stosunkowo tani, możecie tworzyć swoje własne systemy komputerowe, próbować obejść zastosowane w nich zabezpieczenia i traktować to jak hobby. Wyzwania są takie same. Aby dodać swoim poczynaniom dreszczyk emocji związany z dostawaniem się do zakazanych miejsc, próbujcie włamywać się do systemów swoich przyjaciół mających podobne zainteresowania. Np. umawiacie się z przyjaciółmi, którzy tworzą własne systemy komputerowe i próbujecie nawzajem obejść ich zabezpieczenia. Osobie, której się ta sztuka uda stawiacie piwo! Dzięki temu obchodzicie zabezpieczenia systemów bez naruszania własności prywatnej. Hakujcie dla sportu!

Dziękujemy za rozmowę i życzymy wielu sukcesów.

Czy Kevin Mitnick rzeczywiście jest teraz takim człowiekiem, za jakiego się podaje? W bezpośredniej rozmowie jest bardzo przekonujący, ale w formie żartów lubi wracać do swojej przeszłości. Na koniec spotkania, kiedy wymienialiśmy się wizytówkami, Kevin spytał: "Czy wiesz, co socjotechnik robi z otrzymaną od kogoś wizytówką?" - pokręciłem przecząco głową, a wtedy on odwrócił się do swojego współpracownika i wręczając mu wizytówkę przedstawia się moim nazwiskiem! Zapytany po oficjalnej części wywiadu o to czy zdawał sobie sprawę z tego, że pracownicy hotelu w którym mieszkał mieli problemy z systemem komputerowym odpowiedział krótko: "Nie mam tu wystarczających środków technologicznych aby włamać się do systemu. Korzystam tu ze zwykłego połączenia dial-up. Na dodatek nie mogę nawet z jakiegoś powodu połączyć się z numerem dostępowym do Internetu, a jak już się połączę, transfer wynosi 26,4. Do bani! Nie mogę nawet sprawdzić swojej poczty!". No cóż! Witaj w Polsce, Kevin! ;-)

Materiał pochodzi ze stron internetowych miesięcznika PC World KOMPUTER — www.pcworld.pl

opr. JU/PO

« 1 »
oceń artykuł Pobieranie..

reklama

reklama

reklama