Proslul tím, že obratně dokázal využívat sociálního inženýrství – díky tomu se dostal opakovaně do konfliktu se zákonem. A jako prvnímu hackerovi světa se mu dostalo oné pochybné cti, že se jeho jméno dostalo na seznam deseti nejhledanějších osob americké FBI.
V únoru 2005 už poněkolikáté navštívil Prahu. Nebyl u nás tedy poprvé a rozhodně ne naposledy. Mimo jiné proto, že má v Praze příbuzné… Tentokrát bylo důvodem jeho návštěvy vystoupení na konferenci IDC IT Security Roadshow. Využili jsme této příležitosti a položili slavnému hackerovi ve výslužbě – který dnes ale „seká dobrotu“ a pomáhá zajišťovat informační bezpečnost – několik otázek.
n Jako malé dítě má každý sny o tom, čím bude, až jednou vyroste. Čím jste se chtěl stát vy? Předpokládám, že ne hackerem…
Ne, to opravdu ne. Chtěl jsem být něčím jako lékařem nebo tak podobně. Vždy mě bavilo pomáhat lidem a tady jsem viděl příležitost. Jenomže časem jsem zjistil, že se mi při pohledu na krev dělá špatně. Pak jsem chtěl být veterinářem, protože mám rád zvířata a chtěl jsem jim pomáhat. Takové byly mé dětské sny.
n Nakonec jste se tedy nestal ani lékařem, ani veterinářem, ale hackerem. Dnes by se o vás dalo říci, že jste hacker ve výslužbě…
No, spíše bych o sobě hovořil jako o specialistovi na informační bezpečnost. Nicméně je samozřejmě všeobecně známé, že jsem před mnoha lety býval hackerem. Má minulost je zkrátka veřejná.
n Jste hrdý na to, čeho jste dosáhl?
Jsem hrdý na svou současnou pověst, jsem hrdý na své hackerské úspěchy a také jsem hrdý na to, že jsem byl schopen svůj život změnit. Nyní mohu využívat své znalosti k tomu, abych pomáhal druhým.
n Za své hackerské kousky jste byl několikrát zadržen a uvězněn. Proč jste nepřestal? Co vás vedlo k opakování těchto činů?
Prostě mi hackování působilo potěšení. Velké potěšení. A také jsem byl v komunitě mezi lidmi, kteří se dále věnovali hackingu. Prostě jsem z hackingu v té době ještě nevyrostl.
Pokračoval jsem také proto, že jsem byl fascinován technikou.
Jenomže pak jsem skončil v mnohaletém vězení a vláda ze mě udělala odstrašující příklad. Až tehdy jsem se přestal hackingu věnovat – prostě mi trvalo dlouho, než jsem přestal být dítětem.
n Považujete se za extrémně nebezpečného hackera? Sám jste použil ve spojitosti se sebou slovo „příklad“.
Za to, co jsem udělal v minulosti, jsem si postih rozhodně zasloužil. Jenomže (americká) vláda mnou způsobené škody zveličila. Jen pro představu: to, co jsem udělal, bylo, že jsem odcizil software. Přesněji zdrojový kód softwaru. Proč? Prostě jsem chtěl vidět, jak funguje. Nikdy jsem ho nezveřejnil, nikdy jsem ho jakkoliv nepoužil. Prostě jsem se na něj jenom podíval. Jenomže to nebylo legální.
FBI ale chtěla udělat z Kevina Mitnicka příklad. Proto šli vyšetřovatelé do společnosti Sun Microsystems a do dalších a ptali se: „Kolik peněz jste investovali do výzkumu a vývoje (tohoto softwaru)?“ Odpověď zněla, že osmdesát miliónů dolarů. A ty mi připočetli.
V Americe je zákon, že když něco zpronevěříte nebo odcizíte, tak jste odsouzený za škodu v hodnotě zničeného či sebraného majetku. Jenomže já jsem ten software jenom zkopíroval! Ukažte mi tu osmdesátimiliónovou škodu!
A takto vyčíslili škodu na 291 miliónů dolarů. To ale není pravda, já takovou škodu nezpůsobil – jen jsem se díval na software, který tyto společnosti za 291 miliónů dolarů vyvinuly. A to je rozdíl.
n Na čem jste postavil svoji obhajobu?
To je jednoduché. Společnosti, do kterých jsem se naboural, jsou veřejně obchodovatelné na burze. Zveřejňují tedy finanční zprávy akcionářům a podávají daňová přiznání. Mí obhájci šli do daňových přiznání a hledali, kdeže ta mnou způsobená škoda je. Z pochopitelných důvodů ji nenašli. Prostě šlo o zkreslená čísla, jejichž cílem bylo mi přitížit. Udělat ze mě Usámu bin Mitnicka internetu.
n Nikdy jste tedy ze svého hackování neměl žádnou výhodu?
Ne, nikdy. Pokud nepočítáme to, že dnes lidé znají mé jméno, protože jsem bývalý hacker. Další výhodou je, že znám prostředí hackerů. Ale když jsem kdysi býval hackerem, bylo jedinou mou výhodou potěšení a získávání znalostí. Přirovnal bych se k dítěti šmejdícímu v opuštěném domě. To dítě tam samozřejmě nemá co dělat. Ale není tam prostě proto, aby někomu něco vzalo, ale jen ho baví a vzrušuje to, co dělá.
n Jsou podle vašeho mínění naše tradiční zákony dostatečnou oporou pro boj s internetovým zločinem, nebo je potřebujeme změnit?
Neznám zákony tady v Evropě, znám jen zákony v USA. A ty je potřeba změnit. Jsou totiž vázané na tradiční hmotné věci – jako například diktafon, který právě držíte v ruce. Teď ale mluvíme o něčem úplně jiném, nicméně velmi hodnotném – o softwaru nebo o ochraně autorských práv. Zákony by měly jít s technologií.
Druhým problémem je, že pro tradiční zločince činí technologie jejich činnost jednodušší. Před chvílí tady na konferenci zazněla přednáška s ukázkami hackerských technik. Každý mohl na vlastní oči vidět, jak jednoduché je změnit ceny zboží v internetových obchodech, které nepoužívají bezpečné technologie.
Lidé se hackingu nebojí, nechrání se. Přitom problémy s ním související nás obklopují každý den – a díky tomu všichni přicházíme o obrovské peníze.
n Internet je plný kdovíjakých nepříjemností – spam, viry, spyware… Jedním slovem: anarchie. Je to tak v pořádku, nebo by se měl internet změnit?
Internet je potřeba změnit, a to tak, že vyvineme bezpečnější protokoly.
Mohly by pomoci i nové zákony, které by odrážely současný stav věcí, ale musíme si uvědomit, že hovoříme o globální síti a že celosvětový proces změny zákonů může trvat mnoho desetiletí – než se jednotlivé země světa dokáží sjednotit na společných modelech pravidel internetu.
Takže řešení té úlohy je někde jinde – v rukou průmyslu. Jeho úkolem je vyvinout nové a bezpečnější protokoly. Většina dnešních protokolů je z šedesátých a sedmdesátých let, z doby sítě ARPAnet. Tyto protokoly přitom nebyly vytvářeny jako bezpečné. Cílem tehdejší sítě bylo, aby mohla být komunikace udržovaná i v případě války bez ohledu na rozsah poškození sítě. Takže důraz byl kladen na funkčnost, ne na bezpečnost.
Nyní ale na této struktuře budujeme e-komerci a B2B transakce. Přitom jde o nebezpečnou platformu – a to se musí změnit.
n Co může každý uživatel udělat pro bezpečnější svět?
Několik základních věcí. Jednak používat osobní firewall. Mám přitom na mysli něco rozumnějšího než firewall od Microsoftu. I když i ten je samozřejmě lepší než nic. Ale blokuje jen příchozí provoz. Jiné firewally totiž blokují i provoz odchozí, a tak chrání před mnohem větším počtem útoků.
Dále používat antivirový program. Ale nikoliv ho pouze mít, ale udržovat jeho detekční databáze v aktuálním stavu.
Konečně pak záplatovat systém. Udržujte svůj operační systém aktuální pomocí nejnovějších záplat. To platí pro Windows, Linux i pro Lindows, což je jakýsi hybrid obou systémů.
Používejte nástroj, který bude počítač pravidelně skenovat proti přítomnosti spywaru.
Nepoužívejte počítač přihlášený jako administrátor. 99 procent uživatelů Windows je přihlášeno jako lokální administrátoři. Jakmile jsou infikovaní, útočící kód má ke všemu přístup. Přitom uživatelé Linuxu jsou při práci jen málokdy přihlášeni jako root – do administrátorského režimu přecházejí až v okamžiku, kdy ho opravdu potřebují. Proto se většina červů a škodlivých kódů zaměřuje na Windows.
A není to jen chyba Microsoftu, protože mnoho firem vyvíjí software, který prostě vyžaduje, aby byl instalován na počítač s administrátorskými právy. A pokud administrátorská práva nemáte, tak prostě nepracuje. To se přece musí změnit!
n Jednou z největších hrozeb současné-
ho kybernetického světa je phishing? Tedy metoda, která využívá sociální inženýrství.
Phishing je opravdu velká hrozba. Co proti němu můžeme udělat, je zvyšovat povědomí mezi uživateli o tom, co to vlastně phishing je.
Co je ale důležitější: je zapotřebí vylepšit nejen znalosti uživatelů, ale je nutné změnit i další prvky. Většinou se k elektronickému nákupu nebo bankovnictví používají statická hesla. Takže útočníkovi stačí jen přihlašovací log-
in a heslo – a je tam, kde potřebuje být. Proto je potřeba zavést silnější autentizační prvky.
n Jednou ze základních metod získávání informací hackery bylo vybírání odpadkových košů. Myslíte si, že je stále nebezpečné?
Ano, a to velmi. Společnosti vyhazují obrovské množství důležitých informací do odpadků. Když jste v USA podezřelí z nějaké nelegální činnosti, tak vás FBI nejen odposlouchává, ale prochází i vaše odpadky.
Osobně organizuji o sociálním inženýrství workshopy. Přitom obvykle dělám to, že před přednáškou projdu obsah několika odpadkových košů a posluchačům přinesu ukázat nějaké „odpadky“, které se týkají jejich firmy. Přitom nikdy dopředu nevím, co v odpadcích najdu. Naposledy jsem ale našel seznam administrátorských hesel a telefonní čísla na konzultační firmy spravující počítačový systém.
Probírání odpadků je velmi cenná a nebezpečná metoda získávání informací.
n Po první knize Umění klamu připravujete další knihu Umění průniku (The Art of Intrusion).
Ano, kniha je už napsaná a vyjde koncem tohoto měsíce. (Rozhovor vznikl počátkem února 2005 – pozn. autora.)
n Bude přeložena také do českého jazyka?
Tak to absolutně netuším. V pátek 25. února vyjde v angličtině, ale další jazykové verze jsou záležitostí mého vydavatele.
n Až do ledna 2007 máte přísný zákaz jakkoliv informovat o svých hackerských aktivitách. Přitom plánujete napsat knihu – jakýsi skutečný životní příběh Kevina Mitnicka. Nebojíte se, že by vás v prosinci 2006 mohla potkat třeba nečekaná autonehoda a příběh by nikdy nespatřil světlo světa?
Ne, ne, nikdy jsem totiž nedělal nic proti americké vládě. Nikdy jsem nehackoval vládní stránky, nikdy jsem nebyl špiónem nebo něčím podobným. Před několika lety se objevil případ, kdy někteří členové jisté německé hackerské skupiny prováděli špionáž pro KGB a jeden člen skupiny byl poté nalezen mrtvý. Ale to je opravdu něco jiného.
n Máte nějaký sen?
Můj sen je být úspěšný a žít šťastný život. A být úspěšný v podnikání. Dnes a denně se totiž setkávám s nedůvěrou. Mám sice hodně klientů, ale mnozí z nich se stále bojí bývalého hackera. Jedinou moji odpovědí je, že se opravdu chovám seriózně a že si nemohu dovolit další průšvih.
Pro všechny čtenáře PC World Security.
Přeji všem bezpečné prostředí proti
zlodějům dat a vandalům v nepřátelském
internetu.
Všechno nejlepší.
Kevin Mitnick
8. února 2005, Praha
PŘEDPLATNÉ
ČLÁNKY DO MAILU