Kevin Mitnick získal v závere minulého tisícročia povesť jedného z najnebezpečnejších ľudí planéty. Tak úplne si ju nezaslúžil. Teraz možno zapracuje na tom, aby sa medzi nich konečne zaradil. Plánuje totiž predávať exploity – nástroje využívajúce chyby v programoch. A ani ho veľmi netrápi, kto ich kúpi. Bezpečnostné dopady by mohli byť ďalekosiahle.
.sociálny inžinier
Ale poďme po poriadku. Kevin Mitnick sa narodil v roku 1963 v Los Angeles. Rodičia sa rozišli, keď mal tri roky, matka pracovala ako čašníčka, aby Kevina uživila, ale popri práci mala naňho málo času. Vystačil si sám. Miloval mesto, bol zvedavý a jeho koníčkom sa stali kúzelnícke triky. Dokázal ľudí, aj dospelých, presvedčiť, aby urobili to, čo chce. Keď mal dvanásť rokov, pripravil si svoj prvý veľký trik. Povedal vodičovi autobusu, že pre školský projekt potrebuje dierkovač lístkov, aký používa losangeleská hromadná doprava. Vodič mu ukázal, kde sa dá kúpiť, a chlapec sa naučil označovať prázdne lístky – ktoré vyťahoval z odpadkových nádob – tak, aby za jazdu nemusel platiť. Musel si zapamätať komplikovaný systém mestského autobusového značenia, ale stálo to za to. Túlačky po meste boli zrazu grátis. A z Kevina sa stal „sociálny inžinier“.
„Sociálny inžinier“ je v podstate podvodník. Využije slabosti iných ľudí, aby z nich vymámil informácie alebo ich donútil niečo urobiť. Kevina Mitnicka aj na strednej tešilo, keď mohol používať strategické myslenie, verbálne nadanie a geniálnu pamäť na uspokojovanie svojej zvedavosti. Dostal sa k aktivite zvanej phreaking – skúmaniu slabých miest telekomunikačných firiem. Tento populárny koníček stredoškolákov si vyžadoval okrem ťahania informácií napríklad od pracovníkov telekomunikačných firiem aj istú úroveň technickej zdatnosti. Phreakingu sa venoval napríklad aj Steve Jobs.
To už bol k hackingu iba krok. Mámenie hesiel a vstupných kódov sa dalo využiť pri počítačových systémoch ešte grandióznejšie ako pri telefonických sieťach. Kevina Mitnicka stále motivovala najmä zvedavosť a dodnes tvrdí, že sa nikdy neplánoval obohatiť. Ani neskôr, keď prenikal do systémov obrovských firiem. Mitnick o tom píše: „Odkedy som spravil ten trik s autobusmi, a to som bol ešte primalý, aby som vedel, že je na tom niečo zlé, som v sebe objavil talent – vyzvedieť tajomstvá, ktoré som nemal poznať. Talent som rozvíjal prostredníctvom podvodov, znalosti profesionálneho žargónu a šikovnej manipulácie... cvičil som to ako kúzelnícke triky.“
Po tom, čo sa tínedžerovi Mitnickovi podarilo preniknúť do firmy DEC a skopírovať jej softvér, bol súdený a dostal trojročnú podmienku. Ešte v podmienke hackoval kalifornského telekomunikačného giganta Pacific Bell. Vydali naňho zatykač, Mitnick vzal nohy na plecia a dva roky unikal pred agentmi FBI. Menil identitu, sťahoval sa. Zatkli ho až v roku 1995. Odsúdený bol za počítačové podvody, sedel päť rokov, z toho osem mesiacov na samotke. Amerika si vydýchla – najnebezpečnejší kyberkriminálnik je potrestaný.
Bol však ozaj taký nebezpečný? Mitnick bol skôr podvodník než temný technogénius. Zvedavý chalan bez zábran, dieťa ulice, ktoré sa vďaka vlastnej inteligencii dostalo do celkom iného typu problémov, než aké čakajú na bežných jedincov vychovávaných ulicou. Nenapáchal veľké škody. Najväčšia legenda o Mitnickovi vzišla z médií. Články, ktoré o ňom písal napríklad John Markoff pre New York Times, kým bol Mitnick na úteku, vykreslili „überhackera“, akého sa treba báť. Nielen Mitnickovi prívrženci, ale aj tí, ktorí jeho nelegálne aktivity kritizujú, vravia, že Amerika 90. rokov potrebovala exemplárne odsúdiť a vytrestať technologického zloducha – veď mu aj v tlači dali prezývku Darth Vader.
.zero-day hrozba
Dnes je z Dartha Vadera korpulentný päťdesiatnik, bezpečnostný poradca, autor kníh o počítačovej kriminalite aj o umení podvodov. Keď však minulý týždeň oznámil, že chce predávať exploity zraniteľností „zero-day“, a k tomu ešte aj za vysoké ceny, veľa ľudí spozornelo.
„Zero-day“ zraniteľnosti sú chyby v programoch alebo momenty, keď sa program nespráva tak, ako sa správať má. Dajú sa zneužiť. Vystavujú používateľov riziku. A kým ich výrobca neopraví – napríklad aktualizáciou – používatelia sú ohrození. Exploity, ktoré slúžia na využívanie týchto chybných miest v programoch, sú preto vyhľadávané a neraz dobre platené. Pretože využívanie chýb v programoch môže poslúžiť na rôzne účely: komerčné, podvodné alebo aj útočné.
Kevin Mitnick tvrdí, že motiváciu svojich klientov skúmať nebude. A že exploity, ktoré ponúka od stotisíc dolárov vyššie, nemieni predávať vládnym agentúram, lebo s nimi má zlé skúsenosti. Ale čo cudzie vlády? Čo firmy, ktoré použijú jeho exploity na priemyselnú špionáž? Čo napríklad súkromné spoločnosti, ktoré dodávajú vláde zbraňové technológie? Alebo tie, ktoré slúžia ako zásterka teroristických organizácií? Ako Mitnick zabráni zneužitiu exploitov?
Kevin vstúpil do sivej zóny. Po rokoch, keď tvrdil, že je už „biely klobúk“, teda etický hacker, pracujúci iba pre zvyšovanie počítačovej bezpečnosti, riskuje svoju povesť. A tí, ktorí volali Free Kevin!, si vravia, že sa nemuseli namáhať. Nik ich nepresvedčí, že ho už motivuje len zvedavosť. Kevina teraz asi úplne najviac zaujíma to, o koľko mu do budúceho roka vzrastie bankové konto.
.sociálny inžinier
Ale poďme po poriadku. Kevin Mitnick sa narodil v roku 1963 v Los Angeles. Rodičia sa rozišli, keď mal tri roky, matka pracovala ako čašníčka, aby Kevina uživila, ale popri práci mala naňho málo času. Vystačil si sám. Miloval mesto, bol zvedavý a jeho koníčkom sa stali kúzelnícke triky. Dokázal ľudí, aj dospelých, presvedčiť, aby urobili to, čo chce. Keď mal dvanásť rokov, pripravil si svoj prvý veľký trik. Povedal vodičovi autobusu, že pre školský projekt potrebuje dierkovač lístkov, aký používa losangeleská hromadná doprava. Vodič mu ukázal, kde sa dá kúpiť, a chlapec sa naučil označovať prázdne lístky – ktoré vyťahoval z odpadkových nádob – tak, aby za jazdu nemusel platiť. Musel si zapamätať komplikovaný systém mestského autobusového značenia, ale stálo to za to. Túlačky po meste boli zrazu grátis. A z Kevina sa stal „sociálny inžinier“.
„Sociálny inžinier“ je v podstate podvodník. Využije slabosti iných ľudí, aby z nich vymámil informácie alebo ich donútil niečo urobiť. Kevina Mitnicka aj na strednej tešilo, keď mohol používať strategické myslenie, verbálne nadanie a geniálnu pamäť na uspokojovanie svojej zvedavosti. Dostal sa k aktivite zvanej phreaking – skúmaniu slabých miest telekomunikačných firiem. Tento populárny koníček stredoškolákov si vyžadoval okrem ťahania informácií napríklad od pracovníkov telekomunikačných firiem aj istú úroveň technickej zdatnosti. Phreakingu sa venoval napríklad aj Steve Jobs.
To už bol k hackingu iba krok. Mámenie hesiel a vstupných kódov sa dalo využiť pri počítačových systémoch ešte grandióznejšie ako pri telefonických sieťach. Kevina Mitnicka stále motivovala najmä zvedavosť a dodnes tvrdí, že sa nikdy neplánoval obohatiť. Ani neskôr, keď prenikal do systémov obrovských firiem. Mitnick o tom píše: „Odkedy som spravil ten trik s autobusmi, a to som bol ešte primalý, aby som vedel, že je na tom niečo zlé, som v sebe objavil talent – vyzvedieť tajomstvá, ktoré som nemal poznať. Talent som rozvíjal prostredníctvom podvodov, znalosti profesionálneho žargónu a šikovnej manipulácie... cvičil som to ako kúzelnícke triky.“
Po tom, čo sa tínedžerovi Mitnickovi podarilo preniknúť do firmy DEC a skopírovať jej softvér, bol súdený a dostal trojročnú podmienku. Ešte v podmienke hackoval kalifornského telekomunikačného giganta Pacific Bell. Vydali naňho zatykač, Mitnick vzal nohy na plecia a dva roky unikal pred agentmi FBI. Menil identitu, sťahoval sa. Zatkli ho až v roku 1995. Odsúdený bol za počítačové podvody, sedel päť rokov, z toho osem mesiacov na samotke. Amerika si vydýchla – najnebezpečnejší kyberkriminálnik je potrestaný.
Bol však ozaj taký nebezpečný? Mitnick bol skôr podvodník než temný technogénius. Zvedavý chalan bez zábran, dieťa ulice, ktoré sa vďaka vlastnej inteligencii dostalo do celkom iného typu problémov, než aké čakajú na bežných jedincov vychovávaných ulicou. Nenapáchal veľké škody. Najväčšia legenda o Mitnickovi vzišla z médií. Články, ktoré o ňom písal napríklad John Markoff pre New York Times, kým bol Mitnick na úteku, vykreslili „überhackera“, akého sa treba báť. Nielen Mitnickovi prívrženci, ale aj tí, ktorí jeho nelegálne aktivity kritizujú, vravia, že Amerika 90. rokov potrebovala exemplárne odsúdiť a vytrestať technologického zloducha – veď mu aj v tlači dali prezývku Darth Vader.
.zero-day hrozba
Dnes je z Dartha Vadera korpulentný päťdesiatnik, bezpečnostný poradca, autor kníh o počítačovej kriminalite aj o umení podvodov. Keď však minulý týždeň oznámil, že chce predávať exploity zraniteľností „zero-day“, a k tomu ešte aj za vysoké ceny, veľa ľudí spozornelo.
„Zero-day“ zraniteľnosti sú chyby v programoch alebo momenty, keď sa program nespráva tak, ako sa správať má. Dajú sa zneužiť. Vystavujú používateľov riziku. A kým ich výrobca neopraví – napríklad aktualizáciou – používatelia sú ohrození. Exploity, ktoré slúžia na využívanie týchto chybných miest v programoch, sú preto vyhľadávané a neraz dobre platené. Pretože využívanie chýb v programoch môže poslúžiť na rôzne účely: komerčné, podvodné alebo aj útočné.
Kevin Mitnick tvrdí, že motiváciu svojich klientov skúmať nebude. A že exploity, ktoré ponúka od stotisíc dolárov vyššie, nemieni predávať vládnym agentúram, lebo s nimi má zlé skúsenosti. Ale čo cudzie vlády? Čo firmy, ktoré použijú jeho exploity na priemyselnú špionáž? Čo napríklad súkromné spoločnosti, ktoré dodávajú vláde zbraňové technológie? Alebo tie, ktoré slúžia ako zásterka teroristických organizácií? Ako Mitnick zabráni zneužitiu exploitov?
Kevin vstúpil do sivej zóny. Po rokoch, keď tvrdil, že je už „biely klobúk“, teda etický hacker, pracujúci iba pre zvyšovanie počítačovej bezpečnosti, riskuje svoju povesť. A tí, ktorí volali Free Kevin!, si vravia, že sa nemuseli namáhať. Nik ich nepresvedčí, že ho už motivuje len zvedavosť. Kevina teraz asi úplne najviac zaujíma to, o koľko mu do budúceho roka vzrastie bankové konto.
Ak ste našli chybu, napíšte na web@tyzden.sk.