Craig F. Walker/The Denver Post via Getty Images/Ideal Image
ΚΟΣΜΟΣ

Kevin Mitnick, ο καλύτερος hacker της ιστορίας

Έδρασε στα 90s, με τις ανακαλύψεις του να μας ταλαιπωρούν μέχρι σήμερα.

Πολλοί είναι οι hackers που έxoυν υποχρεώσει κυβερνήσεις και οργανισμούς να ανασυνταχθούν, γιατί είχαν εκτεθεί ανεπανόρθωτα. Λίγοι έχουν γίνει γνωστοί. Κυρίως ήταν αυτοί που συνελήφθησαν, όπως ομολόγησε στο Wired ο Jeff Crume, αρχιτέκτονας cybersecurity και επίκουρος καθηγητής στο NC State University.

Χαρακτηριστικά, διευκρίνισε ότι «κάποιοι από τους εκπληκτικούς hackers είναι αυτοί για τους οποίους δεν έχετε ακούσει ποτέ, γιατί ήταν τόσο καλοί που δεν τους έπιασαν». Αν όμως, τον ρωτούν ποιος είναι το μεγαλύτερο όνομα από αυτά που έχουμε ακούσει «με μεγάλη επιρροή και από τους πιο περιβόητους κατά το παρελθόν, αναμφίβολα είναι ο Kevin Mitnick».

O εν λόγω έγινε star τη δεκαετία του ’90 και ο λόγος για να αλλάξουν πολλά στην κυβερνοασφάλεια κυβερνήσεων και εταιρειών.

Σε κέρδισε;

O καλύτερος hacker ήταν μάστερ της χειραγώγησης

Ο Kevin David Mitnick έδρασε το ‘80 και το ‘90 και σε αντίθεση με τις σύγχρονες αντιλήψεις για το hacking, ως καθαρά βασισμένου σε κώδικα, οι μέθοδοι του Mitnick εκμεταλλεύονταν την ανθρώπινη ψυχολογία και τη χειραγώγηση ανθρώπων και μικρών τρωτών σημείων συστημάτων. Έτσι, έκανε μαζικές παραβιάσεις.

Έγινε μετρ του social engineering, τεχνική ψυχολογικής χειραγώγησης, ώστε να αποκαλύπτουν τα θύματα του ευαίσθητες πληροφορίες ή να εκτελούν ενέργειες που έθεταν σε κίνδυνο την ασφάλεια. Για παράδειγμα, τηλεφωνούσε στο γραφείο υποστήριξης μιας εταιρείας, παριστάνοντας έναν υπάλληλο που είχε «ξεχάσει» τα διαπιστευτήριά του, χρησιμοποιώντας την ορολογία εμπιστευτικών πληροφοριών που χρειαζόταν για να πείθει. Πού έβρισκε την ορολογία; Θα διαβάσεις στη συνέχεια.

Μια άλλη μεγάλη στιγμή του ήταν όταν χειραγώγησε υπάλληλο της Motorola ώστε να του στείλει ιδιόκτητο κώδικα, προσποιούμενος ότι ήταν ένας συνάδελφος που εργαζόταν σε μια αυστηρή προθεσμία. Έπαιζε με φυσικές (κατασκευαστικές) τάσεις του είδους που λέγεται άνθρωπος, όπως εκμεταλλευόταν όλα τα τηλεπικοινωνιακά συστήματα, σε εποχή που δεν ήταν ευρεία η διάδοση του διαδικτύου. Οι τεχνικές του επηρέαζαν ολόκληρους οργανισμούς και βιομηχανίες και ως εκ τούτου έγινε γνωστός ως ο μεγαλύτερος hacker.

Fun fact: Μεταξύ όσων είχε χακάρει ήταν και τα συστήματα του FBI. Έτσι παρακολουθούσε την καταδίωξη του και ήταν πάντα ένα βήμα μπροστά. Η αποκάλυψη υποχρέωσε τη βελτίωση των πολιτικών κυβερνοασφάλειας.

Οι επιθέσεις που βασίζονται στην τεχνητή νοημοσύνη, όπως οι deepfake φωνές ή τα υπερ-προσωποποιημένα email ηλεκτρονικού «ψαρέματος» (phishing), αποτελούν την κληρονομιά του Mitnick.

Στην εποχή πριν το διαδίκτυο, ελάχιστοι καταλάβαιναν το social engineering. Βέβαια, και τώρα που το καταλαβαίνουν οι περισσότεροι, μελέτη δείχνει πως το 90% των παραβιάσεων δεδομένων περιλαμβάνουν ανθρώπινο λάθος, με το phishing να είναι το κατ’ αρχάς κλειδί που ανοίγει την πόρτα στην κλοπή 33.000.000 αρχείων δεδομένων το χρόνο.

Ο Mitnick έσπασε το σύστημα των μεγαλύτερων τεχνολογικών εταιρειών του πλανήτη, εκείνη την εποχή. Όπως κατέθεσε «παραβίασα επιτυχώς όλα τα συστήματα που είχα ως στόχο, για μη εξουσιοδοτημένη πρόσβαση, πλην ενός». Παραβίασε εταιρείες όπως η IBM, η Motorola και η Nokia, κλέβοντας ιδιόκτητο λογισμικό και εκθέτοντας τρωτά σημεία. Ανάγκασε τους κολοσσούς να επανεξετάσουν την ασφάλεια, μετακινώντας πέρα ​​από τα τείχη προστασίας στην εκπαίδευση των εργαζομένων.

Το hype που είχε η καταδίωξη και η σύλληψη του, έκανε το hacking πολιτιστικό φαινόμενο που συνδύαζε το φόβο και τη γοητεία. Η μεγαλύτερη ικανότητα που είχε, δεν αφορούσε τα τεχνολογικά, αλλά την βαθιά κατανόηση της ανθρώπινης συμπεριφοράς. Έτσι κατάφερε να χειραγωγεί ανθρώπους, ώστε να κάνουν πράγματα που υπό φυσιολογικές συνθήκες δεν θα έκαναν ποτέ.

Για παράδειγμα, πήγαινε σε ένα κτίριο που είχε θέσει ως στόχο, προσποιούμενος πως αφήνει στη γραμματεία ένα γράμμα για κάποιον υπάλληλο, ώστε να μπορεί να δει τις ταυτότητες των εργαζομένων. Με τη χρήση Photoshop, έφτιαχνε ένα πλαστό αντίγραφο.

Στο βιβλίο του με τίτλο Ghost in the Wires εξήγησε ότι δεν χρειαζόταν καν, να φαίνεται αυθεντικό το δημιούργημα του, αφού στο 90% των περιπτώσεων οι υπεύθυνοι ασφαλείας δεν έριχναν ούτε μια ματιά στην ψεύτικη ταυτότητα με την οποία επέστρεφε στο κτήριο, ακολουθούσε τους υπαλλήλους στην επιστροφή τους από το καπνιστήριο -ώστε κάποιος με κανονική ταυτότητα να ανοίξει την πόρτα ασφαλείας, ενώ ο κάθε ένας την κρατούσε ανοιχτή για τον επόμενο, από ευγένεια.

Μετά έμπαινε στο σύστημα του εξαερισμού -στο ταβάνι- και από εκεί πήγαινε στο δωμάτιο με το δίκτυο της εταιρείας, όπου παρέκαμπτε το σύστημα λειτουργίας της εταιρείας, με την εγκατάσταση bootable έκδοσης του συστήματος που είχε εργαλεία hacking (πχ κακόβουλο λογισμικό). Με αυτό έπαιρνε τον έλεγχο για τα πάντα -και τις κάμερες. Έφτανε στους servers που έλεγχαν τις συναλλαγές των πελατών και αποκρυπτογραφούσε εκατομμύρια εκατομμυρίων πιστωτικές κάρτες.

«Μπορούσα να κάνω όλη την ημέρα αγορές, χρησιμοποιώντας διαφορετική κάρτα για την κάθε μία και να μην ξεμένω ποτέ». Δεν χρησιμοποιούσε όμως, καμία. Ήταν σαν παιδί που προσπαθούσε να μπει σε ένα εγκαταλειμμένο κτίριο, για τη χαρά της κατάκτησης. «Ο ενθουσιασμός μου ήταν να ξέρω πως έχω αποκτήσει τη δύναμη».

Ο Mitnick χρησιμοποιούσε την Ανοιχτή Πηγή Πληροφόρησης (OSINT) πριν καν αποκτήσει όνομα, για να ψάχνει δημόσια αρχεία, εταιρικούς καταλόγους, ενώ άδειαζε και κάδους για απορριφθέντα έγγραφα. Έτσι έκανε πειστικές τις μιμήσεις του. Επικοινωνούσε πολλές φορές με τον στόχο του, πριν ζητήσει ευαίσθητες πληροφορίες, εκμεταλλευόμενος την τάση των ανθρώπων να εμπιστευόμαστε φυσικά, τις γνωστές φωνές.

Δημιουργώντας μια αίσθηση κατ’ επείγοντος (έλεγε για παράδειγμα πως «το σύστημα είναι εκτός λειτουργίας και ο Διευθύνων Σύμβουλος ζητά να διορθωθεί άμεσα»), πίεζε τους στόχους να παρακάμπτουν τα πρωτόκολλα. Εκμεταλλευόταν τις ανθρώπινες τάσεις να βοηθούν υπό πίεση, ώστε να μη του ζητήσουν να επαληθεύσει την ταυτότητα του.

Χρησιμοποιούσε επίσης, τον φόβο, όπως προειδοποιώντας για ψεύτικες παραβιάσεις ασφαλείας για να ωθήσει τους υπαλλήλους να επαναφέρουν τα συστήματα, δίνοντάς του πρόσβαση.

Η ανακάλυψη που άλλαξε τη ζωή του Mitnick

Από παιδί περνούσε πολλές ώρες μόνος του. Ο πατέρας του εγκατέλειψε το σπίτι, όταν εκείνος ήταν 3 ετών και η μητέρα του έκανε δυο δουλειές για να ζήσουν. Για να περνάει την ώρα του ευχάριστα, μάθαινε να κάνει μαγικά τρικ -επηρεασμένος από τον πατέρα της κοπέλας που του άρεσε και ήταν μάγος. Έχει πει πως η μεγαλύτερη ανακάλυψη της ζωής του ήταν όταν διαπίστωσε πόσο λατρεύουν οι άνθρωποι να εξαπατώνται. «Άλλαξε το ρου της ζωής μου».

Κατάλαβε πως του αρέσει ιδιαίτερα να εξερευνά συστήματα, από όταν ήταν παιδί. Στα 12 βρήκε τρόπο να μπει δωρεάν σε αστικό λεωφορείο στο Λος Άντζελες, φτιάχνοντας πλαστό εισιτήριο με δείγμα ένα που είχε βρει σε σκουπιδοτενεκέ.

Στο λύκειο απέκτησε εμμονή με το hacking των τηλεφώνων, ώστε να κάνει υπεραστικές κλήσεις δωρεάν. Λάτρευε να χρησιμοποιεί την τεχνολογία για να κάνει φάρσες. Ένα από τα highlights του ήταν που διείσδυε στο σύστημα των μικροφώνων της πιο γνωστής αλυσίδας fast food του πλανήτη, για να λέει πράγματα όπως «συγγνώμη, αλλά δεν εξυπηρετούμε αστυνομικούς».

Δεν άργησε να γίνει λιγότερο αθώος. Στα 17 έβαλε ως στόχο το σύστημα λειτουργίας του τεράστιου παρόχου τηλεφωνικών υπηρεσιών, Pacific Bell. Ένα βράδυ, υποδυόμενος έναν εργαζόμενο που ήθελε να δείξει το χώρο σε δυο φίλους του (απλά υπέγραψε με το όνομα που είχε η πλαστή ταυτότητα, στο βιβλίο επισκεπτών), εξασφάλισε στοίβες με οδηγίες για το πώς λειτουργεί το σύστημα.

Ατυχώς, τον έδωσε η κοπέλα ενός εκ των φίλων του και πέρασε τρεις μήνες στο κέντρο κράτησης ανηλίκων. Προφανώς και δεν σωφρονίστηκε, με την εμμονή του για το hacking να είναι μεγαλύτερη από οτιδήποτε άλλο.

Πώς συνελήθφη Mitnick

Ο Mitnick είχε συλληφθεί το 1988 για απάτη σε υπολογιστές (βλ. Hacking στο σύστημα της Digital Equipment Corporation). Το 1989 αφέθηκε ελεύθερος με αναστολή, την οποία παραβίασε το 1992. Πέρασε τα τρία επόμενα χρόνια ως φυγάς και καταζητούμενος όχι μόνο του FBI, αλλά και όλων των τεχνολογικών κολοσσών.

Για δυο χρόνια ήταν άπιαστος. Στη σύλληψη του συνέβαλε τα μέγιστα ένα θύμα του. Ο άνθρωπος μας είχε χακάρει τα συστήματα του Tsutomu Shimomura, ενός φημισμένου ειδικού στην ασφάλεια υπολογιστών, κλέβοντας ευαίσθητα εργαλεία. Σαν να μην έφτανε αυτό, του άφησε φωνητικά μηνύματα στα οποία τον χλεύαζε.

Ο Shimomura συνεργάστηκε με το FBI και βοήθησε στον εντοπισμό αρχείων καταγραφής των hacks του εχθρού στους διακομιστές της Netcom. Η ανάλυση έδωσε την τοποθεσία του και οι συχνές συνδέσεις το συγκεκριμένο συγκρότημα κατοικιών που κρυβόταν, στο Ράλεϊ της Βόρειας Καρολίνας. Στις 15/2 του 1995 έγινε η σύλληψη, με έφοδο του FBI στο διαμέρισμα του.

Τον βρήκαν με κλωνοποιημένα κινητά τηλέφωνα, πλαστές ταυτότητες και εργαλεία hacking. Ο Mitnick αρχικά προσπάθησε να τον εκβιάσει, αξιοποιώντας τις δεξιότητές του στην κοινωνική μηχανική, αλλά τα στοιχεία ήταν συντριπτικά. Συνελήφθη χωρίς αντίσταση. Του απαγγέλθηκαν πολλές κατηγορίες απάτης μέσω υπολογιστών και καλωδίων. Αντιμετώπιζε ποινή φυλάκισης έως 20 ετών. Ομολόγησε την ενοχή του το 1999 και πέρασε πέντε χρόνια σε κελί, συμπεριλαμβανομένων των οκτώ μηνών της απομόνωσης -καθώς οι αρχές φοβούνταν πως θα μπορούσε να ενεργοποιήσει πυρηνικούς κώδικες.

Οι εταιρείες και οι αρχές πέρασαν τα επόμενα χρόνια να βουλώσουν τις τρύπες των συστημάτων τους, τις οποίες είχε εκθέσει ανεπανόρθωτα ο Mitnick.

Τι έκανε μετά τη φυλακή

Μετά την αποφυλάκισή του, το 2000, o legend του hacking έγινε σύμβουλος ασφαλείας μετά πληρωμής, δημόσιος ομιλητής και συγγραφέας. Παρείχε συμβουλευτικές υπηρεσίες ασφαλείας, εκτέλεσε υπηρεσίες δοκιμών hacking και δίδαξε μαθήματα κοινωνικής μηχανικής σε εταιρείες και κυβερνητικές υπηρεσίες.

Μετά έφτιαξε τη Mitnick Security Consulting LLC και προσέλαβε και άλλους συμβούλους ασφάλειας υπολογιστών, με ειδίκευση σε δοκιμές διείσδυσης, αξιολογήσεις ασφάλειας και εκπαίδευση στον κυβερνοχώρο για εταιρείες και κυβερνητικές υπηρεσίες. Η εταιρεία του επικεντρώθηκε στον εντοπισμό τρωτών σημείων μέσω του ηθικού hacking, βοηθώντας τους οργανισμούς να ενισχύσουν την άμυνά τους απέναντι στις κυβερνοαπειλές.

Η ομάδα του, γνωστή ως Global Ghost Team, διεξήγαγε δοκιμές υψηλού προφίλ για εταιρείες Fortune 500 και άλλους πελάτες, κερδίζοντας τη φήμη για ποσοστό επιτυχίας 100% στον εντοπισμό αδυναμιών ασφαλείας. Το 2011 έγινε συνιδιοκτήτης της KnowBe4, ολοκληρωμένη πλατφόρμα για εκπαίδευση ευαισθητοποίησης σχετικά με την ασφάλεια και προσομοιωμένες δοκιμές ηλεκτρονικού ψαρέματος (phishing).

Βοήθησε στην ανάπτυξη και προώθηση της Εκπαίδευσης Ενημέρωσης για την Ασφάλεια Kevin Mitnick (Kevin Mitnick Security Awareness Training -KMSAT), μιας πλατφόρμας που επικεντρώνεται στην εκπαίδευση των εργαζομένων σχετικά με την social engineering, το ηλεκτρονικό ψάρεμα (phishing), το ransomware και άλλες κυβερνοαπειλές.

Τα προγράμματα που προέκυψαν από την εμπειρία του Mitnick, μείωσαν σημαντικά την ευπάθεια των οργανισμών στο ηλεκτρονικό ψάρεμα, με μελέτες να δείχνουν βελτίωση της τάξεως του 84% έπειτα από ένα χρόνο εκπαίδευσης. Πέθανε στις 16 Ιουλίου 2023 από καρκίνο του παγκρέατος. Ήταν 59 ετών.

ΣΧΕΤΙΚΟ ΘΕΜΑ
ORIGINALS

Οι λέξεις που δεν πρέπει να γκουγκλάρεις ποτέ

ΣΧΕΤΙΚΟ ΘΕΜΑ
LIFE

Τελικά, πόσο πολύτιμα είναι τα data που κλέβουν οι hackers;

Ακολουθήστε το OneMan στο Google News και μάθετε τις σημαντικότερες ειδήσεις.

Exit mobile version