Jen stěží byste hledali mediálně slavnějšího „hackera“ než je Kevin Mitnick. Už ve svých dvanácti letech dokázal právě díky svým sociálním dovednostem oblafnout systém městských autobusů v LA – poté, co mu řidič autobusu, se kterým se spřátelil prozradil,kde si může koupit vlastní zařízení na značení lístků, jezdil prostě na přeznačené přestupní jízdenky, které lidé zahazovali. Není divu že to bylo sociální inženýrství, spíše než geniální programování a prolamování zabezpečených systémů, díky kterému se Kevin nakonec tolik proslavil. Nebyl ale první a neudělal ani největší „kasaštyk“.
Diamanty nejsou věčné
Případ Stanleyho Marka Rifkina je už dnes téměř zapomenutý – odehrál se totiž už na podzim roku 1978, byl poměrně rychle uzavřen a vše co je o něm známo pochází z novinových článků po jeho zatčení (Rifkin nikdy nesouhlasil s rozhovorem pro média, ani svůj příběh nikomu „neprodal“). Rifkin pracoval v roce 1978 u jednoho z dodavatelů záložních systémů pro příkazní místnost Security Pacific National Bank, díky tomu detailně poznal interní pravidla a postupy při převodech – například to, že denní kód pro autorizaci převodů si pracovníci banky často zapisovali do poznámek na svém stole, aby si jej nemuseli pamatovat.
Jednoho dne koncem října 1978 vešel Rifkin do příkazní místnosti zkontrolovat záložní systémy a při té příležitosti si přečetl kód. Při pozdějším výslechu prý prohlásil, že v ten okamžik si připadal jak kdyby vyhrál loterii. Poté odešel k veřejnému telefonnímu automatu v hale banky a vytočil číslo příkazní místnosti, v telefonu se vydával za Mika Hansena z mezinárodního oddělení. Věděl jak takový rozhovor probíhá, takže když byl dotázán číslo kanceláře, odpověděl správně 286. Pak byl požádán o denní kód. S nuceným klidem řekl „4789“. Pokrčoval v zadání převodního příkazu: „Deset milionů a dvě stě tisíc dolarů přesně“ peníze převedl na svůj účet u Irving Trust Company a následně do Wozchod Handels Bank of Zurich, kde měl již připravený účet.
Rifkin si vše pečlivě naplánoval, při své přípravě ale nezaznamenal, že pro dokončení převodního příkazu je třeba ještě vyrovnávací číslo oddělení. Prohlásil klidně, že ho obratem zjistí, zavolal do mezinárodního oddělení, kde se vydával za zaměstnance příkazní místnosti a zjistil potřebné číslo, to pak zavolal slečně v příkazní místnosti. Úspěch. Více než deset milionů dolarů (zhruba miliarda Kč v dnešních cenách) bylo na jeho účtu v Zurichu.
Stanley plánoval důkladně. 26. října odletěl do Švýcarska, kde za osm milionů dolarů nakoupil od sovětské agentury Russalmaz diamanty (celkem 43 200 karátů, tedy necelých 9 kg), ty následně propašoval do USA, kde je chtěl postupně rozprodat. Nepočítal ale s tím, že jej zradí společník, který mu pomáhal s prodejem části diamantů. Na Rifkinův trik totiž mezitím přišla FBI (v bance kupodivu nic podezřelého nezachytili a první informaci získali až od „federálů“) a celá věc byla okamžitě medializována. Rifkin byl zatčen už 5. listopadu 1978, doslova pár dnů poté, co „vyhrál loterii“. Rifkinovi se téměř podařilo vyklouznout, neboť FBI neměla platný příkaz k prohlídce jeho bytu. Nakonec byl ale zatčen znovu v únoru 1979 pro pokus o opakování vyzkoušeného postupu v Union Bank, kde chtěl ukrást 50 milionů dolarů. Přiznal se a byl odsouzen na osm let – prakticky všechny ukradené peníze (diamanty) byly vráceny bance.
Článek v Sarasota Herald o Rifkinově přiznání. (Zdroj: Google News)
Stanley Rifkin provedl do té doby největší bankovní loupež v historii USA, byl sice počítačovým expertem, pro svůj „hack“ ale potřeboval jen telefon a znalost interních postupů – je to modelový příklad raného sociálního inženýrství, metody kterou o deset let později zdokonalil a později ve své knize podrobně popsal mediálně nejslavnější „hacker“ historie a která se v různých obměnách používá dodnes. Koneckonců ani nigerijské emailové „scamy“ nejsou ničím jiným než aplikací principů sociálního inženýrství.
Prostě si o hesla řekněte!
Kevin Mitnick se poprvé naboural do počítačové sítě v roce 1979, jen pár měsíců poté, co byl odsouzen Stanley Rifkin – bylo mu 16 let. Od kamaráda Micaha Hirschmana sehnal telefonní číslo na Ark, vývojovou centrálu DEC (Digital), kde byl vyvíjen operační systém RSTS/E. Protože Micah prozradil Kevinovi heslo, kterým se jeho otec do systémů přihlašoval, stačilo se Mitnickovi pomocí terminálu s termální tiskárnou a modemem (monitor byl tehdy příliš velký luxus) úspěšně do sítě dostat, vyzkoušet si nový software a část kódu si i vytisknout. Incident ale neušel pozornosti administrátorů, kteří upozornili FBI. Ta nakonec zazvonila u Mitnicků doma.
Když jsem šel dolů, agent mně pozdravil, podal mi ruku a řekl „zatýkal jsem Stanley Rifkina“. Předpokládal že budu vědět o koho jde – koneckonců dokázal největší krádež onoho druhu v dějinách, když ukradl deset milionů dolarů ze Security Pacific National Bank. Agent si myslel že mne vyděsí, jenže já věděl, že Rifkina chytli jen proto, že se vrátil do Států a pak žvanil o tom co provedl. Nebýt toho, tak si užíval za hranicemi luxusu.
Tenhle chápek byl ale federál a v té době ještě stále nebyly žádné federální zákony, které by pokrývaly neoprávněný přístup do počítačových systémů – tedy to, co jsem dělal já. Prohlásil: „Pokud budeš dál pokoušet štěstí s telefonní společností, můžeš za to dostat až 25 let.“ Bylo jasné, že je bezmocný. Jen se mne pokoušel vyděsit.
Kevin Mitnick „Ghost in The Wires“, 2011
Mitnick v pozdějších letech zdůrazňoval, že se do počítačových sítí a systému nedostával pomocí speciálních aplikací nebo hackovacích nástrojů, ale výhradně pomocí sociálního inženýrství – ostatně i heslo k systémům DEC prostě získal od kamaráda, který jej „šluknul“ svému otci.
Mnoho útoků zahrnujících sociální inženýrství je důmyslných, založených na řadě kroků, složitém plánování, kombinaci a směsi manipulace a technologických dovedností. Osobně si ale myslím, že schopný sociální inženýr může dosáhnout svého cíle jednoduchým a přímým útokem. Často prostě stačí se někoho zeptat, nebo ho o informace které potřebujete požádat.
Když jsem před časem vypovídal před výborem Kongresu, vysvětlil jsem jim, že hesla i další citlivé informace jsem u řady společností získal prostě tak, že jsem se vydával za někoho jiného a řekl si o ně.
Kevin Mitnick, „Art of Deception“, 2002
DEC se mu nakonec stal osudným. Když se v roce 1988 znovu naboural s kamarádem Lennym do počítačů společnosti aby získal zdrojový kód operačního systému VMS a mohl jej studovat a hledat bezpečnostní trhliny, dostal se znovu do hledáčku FBI. Ve skutečnosti jej ale nedokázali obvinit z toho, co skutečně udělal, a tak připravili zatykač který, podle Mitnicka, obsahoval pouze vymyšlená a absurdní obvinění (nabourání se do systémů NSA, odpojení telefonu jeho probačního dohledu, změny policejních záznamů a vymazání předchozích zatčení či obtěžování herečky McNicholsové odpojováním jejího telefonu). Dostal rok vězení (z toho osm měsíců strávil v samovazbě, protože vyšetřovatelé údajně prohlásili že se jedná o „nejnebezpečnějšího hackera na světě“ a byl by, jak prohlásil vyšetřovatel Leon Wiedman, schopen „rozpoutat jaderný konflikt pískáním do telefonního automatu“) a tříletou podmínku.
Kevin si ale nedokázal pomoci. Stále znovu a znovu se prolamoval do systémů, které ho zajímaly a ke konci tříleté podmínky se naboural do počítačových systémů telekomunikační společnosti Pacific Bell spravujících hlasovou poštu. V Poté co zjistil, že se jej FBI opět chystá zatknout, stal se z Mitnicka psanec a začal na něj několikaletý hon. Ve své knize později napsal, že rozhodnutí utíkat udělal po zkušenosti z konce osmdesátých let, když jej FBI poslala před soud na základě falešných obvinění a strávil dlouhou dobu v samovazbě: „Když zjistíte, že stát nehraje fér, můžete udělat jedinou rozumnou věc: utíkat.“
V průběhu dvou a půl let, kdy byl na útěku, se naboural do řady počítačových systémů, pořídil si několik sad falešných dokladů, klonoval sim karty. Je těžké říci jak velká část jeho aktivit souvisela s kamuflováním jeho útěku, kolik toho dělal pro svou „obživu“ a nakolik pro něj bylo získávání citlivých informací koníčkem a vášní. Nakonec byl ale v únoru 1995 dopaden a v roce 1999 se přiznal ke čtyřem případům elektronické zpronevěry, dvěma případům hackování a jednomu případu nelegálního odposlechu. Podruhé strávil Mitnick ve vězení celkem pět let, z toho čtyři a půl roku před soudním přelíčením.
Po propuštění bylo Mitnickovi zakázáno používat jakékoliv komunikační technologie krom pevné telefonní linky, toto omezení nakonec ale u soudu napadl a vyhrál. Do roku 2010 mu také bylo zakázáno jakkoliv profitovat na knižním či filmovém zpracování jeho příběhu. První kniha „Art of deception“, kterou vydal v roce 2002, tak nepopisovala jeho vlastní aktivity, ale především postupy a praktiky sociálního inženýrství – a přináší v ní klíčové poučení. Je jedno, jak kvalitní zabezpečení a systémy podnik, banka nebo vládní instituce má, pokud nedokáže správně vyškolit zaměstnance, aby dokázali odolat útoku cestou sociálního inženýrství.
Kevin Mitnick (uprostřed) v roce 2006. (Zdroj: Wikipedie)
Nejslavnější, nikoliv nejnebezpečnější
Případ Kevina Mitnicka je ale také skvělou ukázkou, jak média a vlastně i vyšetřovatelé dokáží nafouknout případ, který možná není banální, ale ve skutečnosti ani klíčový, prostě proto, že je to čtenářsky atraktivní, nebo tím lze získat body u nadřízených a voličů. Kevin měl tu smůlu (a v horizontu jeho životního osudu a kariéry vlastně i to štěstí), že se objevil v době, kdy bylo třeba na někom „otestovat“ nové zákony proti počítačové kriminalitě. Jeho notorické „hackerství“ a více než dvouletý život „na útěku“ bylo vděčným tématem pro vyšetřovatele i média. Ve srovnání s dnešními esy kybernetického zločinu byl Mitnick vlastně jen hravý, vynalézavý a bezpochyby i geniální notorický sociální experimentátor. Ostatně, jak praví český divadelní klasik Jára Cimrman: co je to za eso, přátelé, když se nechá chytit.
Kevin Mitnick svůj příběh nakonec odvyprávěl v knize „Ghost in the Wires“ vydané v roce 2011, kterou vám můžeme jen doporučit, dozvíte s v ní mimo jiné o jeho prvním zatčení, tom, proč se musel přiznat k „hacku“ který na něj hodila bývalá přítelkyně jeho kolegy ze žárlivosti (patrně proto, že místo aby se věnoval jí, se raději „prolamoval“ s Kevinem do počítačových systémů), o tom, jak špehoval přítele dívky, kterou se snažil získat, o jeho několikaletém útěku i řadě fíglů a triků, které používal, když se chtěl dozvědět citlivé informace nebo dostat do počítačových systémů. Je to skvělé čtení.
Kevin Mitnick se dnes živí jako bezpečnostní konzultant a vlastní společnost Mitnick Security.
ČLÁNKY DO MAILU