Kevin Mitnick: Hackerul care a spart sistemele giganților tech, dar nu a furat un dolar27 min read
Povestea unuia dintre cei mai temuți hackeri din istorie, care și-a spart aproape toate țintele ca o provocare.
Kevin Mitnick, unul dintre cei mai notorii hackeri din istorie, a decedat pe 16 iulie, la doar 59 de ani, de cancer pancreatic. Un personaj poate mai puțin cunoscut în noua era digitală, Mitnick devenise în anii 1990 un simbol al atacatorilor cibernetici, atunci când a reușit să capete acces la sistemele unora celor mai mari firme tech ale vremii, de la IBM la Motorola, Nokia, Pacific Bell sau Sun Microsystems – majoritatea atacurilor având loc în timp ce era subiectul unei urmăriri naționale de către FBI.
Hackerul lasă în urmă o moștenire controversată și o poveste de viață mai interesantă decât multe filme. Mitnik e un arhetip al hackerilor de la începutul internetului, comunități de pasionați care, profitând de vulnerabilitățile protocoalelor de securitate , efectuau atacuri cibernetice mai mult pentru provocare și dintr-un simț al competiției decât pentru a profita de pe urma lor.
În același timp, Mitnick a devenit și un simbol pentru pericolele care pândesc lumea online la tot pasul. Mitul creat în jurul lui a popularizat imaginea hackerilor omnipotenți care, având acces la orice sistem electronic, pot provoca daune majore atât corporațiilor mari, cât și autorităților statului. Practic, un nou tip de terorist, care folosea computere și telefoane mobile în loc de arme de foc sau bombe.
Primele hack-uri, la provocarea anturajului
În 1979, la doar 16 ani, Kevin Mitnick „The Missing Chapter from The Art of Deception by Kevin Mitnick”,archive.org Membrii acesteia l-au „provocat” să spargă rețeaua celor de la Digital Equipment Corporation (DEC), una dintre cele mai importante firme de computere și software de la acea vreme. I s-a dat doar numărul de telefon la care era contactat un modem dial-up al sistemului pe care DEC îl folosea pentru dezvoltarea unui sistem de operare propriu.
În acea perioadă, companiile de hardware și software din SUA de-abia începeau să folosească modemuri dial-up pentru a putea stabili conexiuni de date între diverse sisteme prin liniiee telefon. Sistemul folosit de DEC, supranumit „The Ark”, permitea conectarea de la distanță a developerilor companiei, iar în afară de numărul de telefon, pentru acces mai erau necesare un cont cu parolă, precum și o parolă separată pentru conectarea la dial-up.
Mitnick a rezolvat problema prin metoda lui preferată: ingineria socială. Aflând numărul administratorului sistemului, l-a sunat pe acesta și s-a dat drept unul dintre dezvoltatorii principali ai proiectului, pretinzând că avea probleme cu logarea pe unul dintre conturile sale. Administratorul nu doar că i-a deschis un cont nou, dar i-a oferit pe tavă și parola de dial-up (care, în mod ironic, era „bufon”), dându-i acces complet la The Ark.
Această primă escapadă în hacking-ul digital avea să devină și o lecție: după ce a demonstrat anturajului faptul că a căpătat acces la sistemele DEC, aceștia au descărcat codul-sursă al sistemului de operare, după care l-au denunțat companiei pe Mitnick. Pentru că era minor, acesta a scăpat însă de repercusiuni legale.
Așa că Mitnick și-a continuat hobby-ul de a pătrunde în sisteme electronice. Doi ani mai târziu, el și un alt amic hacker au reușit să capete acces la sistemul unei centrale operată de compania de telefonie Pacific Bell, ajungând chiar să intercepteze sau să redirecționeze apelurile abonaților. De data aceasta, fiind recidivist, Mitnick a primit și prima dintr-un lung șir de pedepse pentru infracțiuni digitale, trei luni într-un centru de detenție juvenil.
Peste alți doi ani, în 1983, hackerul a fost prins în campusul Universității Californiei de Sud căpătând acces la un computer al Pentagonului prin intermediul ARPANET-ului, proto-internetul care conecta la acea vreme instituțiile din subordinea Departamentului Apărării din SUA de centrele de cercetare universitare din țară, ceea ce i-a adus încă o detenție de șase luni într-un centru juvenil. Prima condamnare ca adult a venit în 1987, după ce a fost prins furând software-ul unei alte companii locale, Santa Cruz Operation, pentru care a primit o sentință de 36 de luni cu eliberare condiționată.
Între 1987 și 1988, DEC-ul avea să reintre în vizorul lui Mitnick, care a devenit obsedat de obținerea unui nou sistem de operare pe care compania îl dezvolta pentru minicomputere. Între timp, DEC-ul trecuse la o rețea internă, numită Easynet, iar Mitnick și un amic de-al lui, Lenny DiCicco, au început să atace modemurile din laboratorul de cercetare al companiei din Palo Alto, folosind computere de la o firmă la care DiCicco era angajat în Casabasas, California.
Mitnick a fost deconspirat, însă, „ Computer an ‘Umbilical Cord to His Soul’ : ‘Dark Side’ Hacker Seen as ‘Electronic Terrorist’”, latimes.com Acesta a susținut că, după ce ar fi refuzat să-i mai ofere acces la computerele companiei la care lucra, hackerul s-ar fi răzbunat printr-o „farsă” în care l-a sunat pe șeful acestuia și i-a spus că DiCicco ar avea probleme cu Serviciul Federal de Administrare Fiscală din SUA (IRS).
A fost prima dintre operațiunile lui Mitnick care a căpătat o atenție mai largă. El a devenit prima persoană acuzată de infracțiuni digitale la nivel federal, sub o lege nou-implementată de guvernul american, pe baza căreia putea primi chiar și până la 30 de ani de închisoare. Apărarea a reușit, însă, să convingă curtea de judecată că acțiunile sale nu se bazau pe intenții malițioase, ci se datorau unei dependențe a acestuia de accesul și spargerea sistemelor computerizate, nu foarte diferită de dependența de droguri sau jocuri de noroc. Un deceniu mai târziu, Kevin Mitnick avea să fie diagnosticat cu sindromul Asperger, o tulburare comportamentală care se manifestă și prin „Ghost in the Wires: The Kevin Mitnick Interview”, zdnet.com
În cele din urmă, Mitnick a fost condamnat pentru spargerea sistemelor DEC la un an de închisoare, trei ani de eliberare condiționată și șase luni de terapie obligatorie pentru a-și trata dependența. Asta nu a fost nici pe departe suficient pentru a-l opri, însă de aici povestea hackerului începe să se întrepătrundă cu un adevărat mit care s-a format în jurul abilităților sale de a sparge orice sistem electronic.
Dat în urmărire, dar sparge tot ce prinde
Spre sfârșitul lui 1992, cu puțin timp înainte de expirarea perioadei de eliberare condiționată, autoritățile americane au emis un nou mandat pentru arestarea lui Mitnick, sub acuzația că ar fi încălcat termenii sentinței și ar fi obținut din nou acces ilegal la un sistem informatic, după ce s-ar fi angajat la o agenție de detectivi.
Mitnick susține, însă, că autoritățile federale i-au întins o cursă, în încercarea de a-l trimite la închisoare pe termen mai lung. Conform acestuia, FBI-ul a trimis un informator-capcană, menit să-l convingă pe Mitnick că era monitorizat de divizia de securitate a lui Pacific Bell, dându-i în același timp detalii despre cum să-i contraspioneze. După ce ar fi descoperit complotul, Mitnick susține că l-ar fi deconspirat pe informator pentru o fraudă cu cărți de credit pe care acesta din urmă o derula concomitent cu activitatea de informare pentru FBI.
În orice caz, hackerul și-a încălcat termenii eliberării condiționate și nu a așteptat punerea în aplicare a mandatului de arestare. Mitnik a devenit un fugar care călătorea prin Statele Unite cu identități false. În acest context, a început să efectueze spargeri la foc automat. De exemplu, la scurt timp, el și-a propus să obțină codul-sursă al modelului său de telefon mobil, Motorola MicroTAC Ultralite, pentru a-l putea modifica astfel încât să elimine orice date de identificare de pe acesta. Ulterior, el a povestit cum i-a luat doar aproximativ un sfert de oră pentru a primi codul-sursă direct de la companie, „How Kevin Mitnick Stole the Source Code for the Best Cell Phone of 1992”, vice.com
Țintele următoare au fost alte nume mari din industria tech a vremii, incluzând Nokia, Sun Microsystems sau IBM, dar și agenții federale precum IRS-ul. În hackurile sale, Mitnick folosea o combinație de inginerie socială, reușind să afle date-cheie despre sistemele vizate prin apeluri telefonice în care impersona ingineri sau directori cu acces la acestea, cu atacuri directe, dar nu extrem de sofisticate, asupra rețelelor în sine, precum exploatarea unor vulnerabilități în conexiunile de tip Transmission Control Protocol, unul dintre principalele sisteme de reguli prin intermediul căruia se realizează transferul de date între device-urile conectate la internet. În perioada în care Mitnick era urmărit de FBI, TCP-ul de-abia apăruse și avea breșe majore de securitate, permițând hackerului să capteze datele transferate între două device-uri aparent securizate. și tehnici timpurii de phishing.
Mitnik a descris în detaliu metoda într-o audiere avută în fața guvernului american din 2000: „Dacă mă decideam să sparg un sistem electronic care avea un modem dial-up, primul pas era să folosesc tehnici de inginerie socială pentru a afla numărul modemului. Apoi, căpătam acces la centrala telefonică care controla numărul modemului, unde îl redirecționam către un simulator de log-in-uri prin care puteam captura parolele necesare pentru a accesa device-ul țintă. Această tehnică poate fi folosită în timp real pentru a obține parole dinamice care sunt schimbate o dată pe minut. Toate aceste acțiuni pe care le-am descriu nu erau vizibile nici măcar celor care monitorizau sau testau securitatea computerului-țintă.”
Centralele telefonice erau și cheia prin care hackerul putea evita localizarea de către autoritățile federale sau orice alte entități care îi investigau atacurile. Într-o altă audiere publică din 2002, Mitnick susținea că a avut la un moment dat acces „Mitnick testimony burns Sprint in Vegas ‘vice hack’ case”, theregister.com ceea ce îi permitea printre altele, să mascheze originea și locația reală a apelurilor pe care le efectua.
Prins cu ajutorul unui rival
Cazul a căpătat notorietate națională odată cu un articol despre urmărire, scris de jurnalistul tech John Markoff, publicat pe „Cyberspace’s Most Wanted: Hacker Eludes F.B.I. Pursuit”, nytimes.com Articolul aducea detalii noi despre trecutul și fuga lui Mitnick, susținând că acesta ar fi reușit North American Aerospace Defense Command, o agenție comună americano-canadiană care se ocupă cu monitorizarea și protejarea spațiului aerian al celor două țări că ar fi provocate daune de milioane de dolari companiilor vizate sau că ar fi reușit să monitorizeze inclusiv agenții FBI care îl urmăreau. Ulterior, Mitnick avea să critice dur reportajul lui Markoff, susținând că acesta din urmă, prin articolele hiperbolizate pe care le publica, a creat o imagine falsă și un adevărat „mit al lui Mitnick”, cu scopul de a profita ulterior de pe seama acestuia prin cărți sau drepturi pentru film.
Câteva luni mai târziu, în perioada Crăciunului din 1994, Mitnick avea să efectueze hack-ul care a dus la prinderea sa. Ținta a fost Tsutaro Shimomura, un fizician japonez care a studiat cu Richard Feynman, care devenise unul dintre cei mai apreciați experți în securitatea cibernetică. Mitnick a reușit să spargă computerul acestuia, însă Shimomura a început să traseze urmele digitale lăsate de acesta, ajutând FBI-ul în cursa pentru localizarea hackerului la începutul lui 1995.
În cele din urmă, Shimomura a fost cel care „Catching Kevin”, wired.com El a reușit să urmărească hackurile acestuia până în Raleigh, Carolina de Nord, unde Mitnick căpătase acces la o centrală a operatului de telefonie Sprint. Acolo, echipajul FBI și Shimomura au folosit un dispozitiv care putea transmite ping-uri constante către celularul folosit de hacker, atât timp cât acesta era pornit. Folosind apoi un sistem care putea urmări semnalul radio până la telefonul acestuia, l-au identificat și arestat pe Mitnick în dimineața zilei de 15 februarie 1995.
După închisoare, o nouă pălărie
A urmat unul dintre cele mai mediatizate și controversate procese de peste ocean de la sfârșitul anilor 1990. Mitnick a stat mai bine de patru ani în închisoare pe perioada procesului, fără posibilitatea de a ieși pe cauțiune – autoritățile americane temându-se că acesta ar putea recidiva dacă ar recăpăta acces la orice tip de device electronic. În același timp, s-a format și o mișcare pentru susținerea hackerului, numită Free Kevin, care cerea clemență pentru acesta, în baza faptului că Mitnick nu profitase niciodată de pe urma spargerilor pe care le-a efectuat.
În cadrul procesului, lui Mitnick i s-a imputat pe post de daune valoarea totală a datelor la care a căpătat acces, aproximativ 300 de milioane de dolari, și a fost acuzat de fraudă electronică și păgubirea sistemelor informatice – deși nu șters sau vândut niciodată datele la care a căpătat acces. În cele din urmă, a negociat o pedeapsă cu procurorii – încă opt luni în detenție solitară, pentru un total de cinci ani de închisoare. Liberat în ianuarie 2000, Mitnick a mai avut, la fel ca în trecut, o perioadă de trei ani de eliberare condiționată în care nu avea voie să folosească orice tehnologie de comunicații, în afara unui telefon fix.
De data aceasta, Mitnick a lăsat în spate de tot hackingul ilegal și, după ce și-a ispășit pedeapsa, a devenit consultant în materii de securitate cibernetică, sfătuind atât companii, cât și instituții publice din Statele Unite asupra breșelor de securitate digitală, devenind practic un hacker etic. Și-a creat chiar și o companie proprie de profil, Mitnick Security Consulting, și a început un adevărat tur de reabilitare a imaginii de hacker malițios și de conștientizare a metodelor prin care reușea să capete acces la sistemelor giganților tech.
În multele interviuri pe care le-a dat după 2000, Mitnick a menționat de fiecare dată că este conștient de faptul că a încălcat legea, însă a reiterat și că nu poate fi considerat un vandal digital – așa cum este portretizat în cartea Takedown, publicată în 1996 de Markoff și Shimomura, despre urmărirea și prinderea sa, Cu excepția Statelor Unite, unde filmul a fost comercializat sub numele Track Down – tocmai pentru că nu a distrus sau profitat de pe urma vreuneia dintre spargerile pe care le-a efectuat.
Indiferent care dintre versiunile despre motivațiile lui Mitnick sunt mai apropiate de realitate, povestea sa arată un lucru care a rămas la fel de cert chiar și câteva decenii mai târziu, într-o lume schimbată radical de digitalizare: nu există sisteme informatice fără vulnerabilități care nu pot fi exploatate, iar cele mai multe au carne și oase în loc de biți.