Cesta do duše Kevina Mitnicka ukazuje zranitelnost podniků vůči kyberkriminalitě
Je duben a přes 1600 technických pracovníků různých společností se hrne do velkého sálu v Moscone Center v San Francisku. Uvnitř to vře vzrušením a na pódium pomalým krokem vchází hlavní hvězda večera, usvědčený počítačový hacker Kevin D. Mitnick. Je jedním ze skupiny právních znalců a odborníků na počítačovou bezpečnost připravených debatovat o tom, zda si společnosti mají nebo nemají na ochranu svých počítačových sítí najímat bývalé hackery.
Je to ožehavé téma. Mitnick oponuje ostatním odborníkům včetně Iry Winklera, hlavního bezpečnostního stratéga firmy Hewlett-Packard, a vzduch jiskří napětím. Když Winkler varuje před zaměstnáváním bývalých hackerů, Mitnick se směje a tvrdí, že Winkler sám ve své poradenské firmě bývalé hackery kdysi zaměstnával. „Znám je osobně,“ dodává Mitnick jízlivě. „Vyměňovali jsme si spolu důvěrné informace.“
Nejznámější hacker světa se vrací. Mitnick, známý pod internetovou přezdívkou Kondor, se patnáct let nabourával do počítačů největších technologických korporací světa a balamutil oběti, aby mu umožnily přístup do svých systémů. Přes pět let strávil ve vězení. K internetu se znovu dostal, až když mu v lednu skončila podmínka předčasného propuštění, a hned si založil poradenskou firmu Defensive Thinking, která klientům pomáhá chránit před hackery obchodní tajemství, zdravotní záznamy i čísla kreditních karet.
Načasované to má dokonale. Díky explozivnímu růstu internetu dosáhlo počítačové pirátství přímo epidemických rozměrů. Zatímco Mitnick prohlašuje, že se do cizích systémů nabourával jen pro potěšení a vzrušení, jež s sebou průnik nese, a nikdy nekradl peníze ani neničil cizí majetek, dnešní počítačoví piráti mají často mnohem destruktivnější cíle. Počítačový „červ“ SQL Slammer nedávno vyřadil z provozu třináct tisíc bankomatů Bank of America a zpomalil internet na celém světě na pouhý zlomek původní rychlosti. Odborníci ze zpravodajských služeb se bojí, že by mohli teroristé internet či jiné počítačové technologie využít k útoku na USA. Americké ministerstvo pro vnitřní bezpečnost se obává, aby Al-Káida nebo jiná skupina nezahájila zároveň počítačový i fyzický útok a nepokusila se vyřadit bezpečnostní systémy v jaderných elektrárnách nebo systémy řízení letového provozu. „Vyhlídka na takový útok představuje obrovskou hrozbu,“ připouští Sallie McDonaldová, zástupkyně vedoucího informačního a výstražného odboru ministerstva.
Obchodní společnosti i vládní úřady vynakládají velké peníze na obranu proti tomuto nebezpečí. Agentura pro průzkum trhu Forrester Research uvádí, že jen v letošním roce lze očekávat, že výdaje na počítačovou bezpečnost dosáhnou 13,5 miliardy dolarů, což představuje dvojnásobek částky z roku 2000. V roce 2006 se čeká dvacet miliard dolarů.
Investovat do nejnovějšího bezpečnostního softwaru ale nestačí. Nejzranitelnější jsou ty společnosti a vlády, které ignorují lidskou stránku počítačového pirátství. V hantýrce bezpečnostních poradců se tomu říká „sociální inženýrství“ a právě to je Mitnickovou specialitou. Hackeři je používají, aby oklamali své oběti a vytáhli z nich hesla a další citlivé informace. Téměř ve všech případech se Mitnickovi podařilo proniknout přes nejspolehlivější síťové firewally jen pomocí vlastní vytrvalosti, telefonu a výmyslů. „Na lidskou hloupost žádný patch nestačí,” vzkazuje podnikům.
Jeho trestná činnost ukazuje, že nejlepším klíčem k zamčenému systému není počítač ani modem, ale důvěřivý člověk. Jednou Mitnick převezl Motorolu, když se vydával za jejího zaměstnance, zavolal jedné z jejích techniček a přesvědčil ji, aby mu poslala systémový software pro nový telefon společnosti.
Mitnickův příběh je procházka úskočnou myslí počítačového hackera. Je jako známý Spielbergův film Chyť mě, jestli to dokážeš, převedený do říše počítačů. Cesta do hlubin Mitnickovy duše pomáhá lépe pochopit temné síly bující v digitálním světě. Odborníci poukazují, že jeho zločinecká kariéra představuje slabikář, který krok za krokem ukazuje, jak se rodí počítačoví piráti, jak myslí a pracují a jak obtížně se polepšují. Je to bití na poplach pro rodiče a pedagogy, aby potenciální „Kondory“ navedli správným směrem – dřív než se běžná pubertální vzpurnost změní v něco zhoubnějšího. A je to také varování pro vlády i obchodní firmy, aby se proti hackerům a kyberteroristům řádně vyzbrojili.
Dnes devětatřicetiletý Mitnick se ve své kanceláři v sedmnáctém podlaží moderního věžáku ve West Los Angeles snaží prezentovat jako napravený, zmoudřelý technický poradce. Jeho firma Defensive Thinking získala již devět klientů, jejichž totožnost však odmítá prozradit. Uspořádal přes 25 vystoupení na seminářích i v soukromých společnostech, přičemž za každé dostal od pěti do dvaceti tisíc dolarů. A když vydal knihu Umění klamu (v originále „The Art of Deception“) a objevil se v malé roli agenta CIA v televizním seriálu Alias, stal se svým způsobem celebritou.
Přesto mu mnoho společností odmítá věřit. Je to usvědčený podvodník, který se navíc svými podvody proslavil po celém světě. „Najmete si snad bankovního lupiče, aby vám hlídal peníze? Pochybuji,“ poznamenává skepticky Linda McCarthyová, výkonná poradkyně v otázkách bezpečnosti pro výrobce antivirových programů Symantec. Proslulost, kterou teď Mitnick využívá k marketingovým účelům, mu na důvěryhodnosti rozhodně nepřidá. Dokud tento rozpor popularity a důvěryhodnosti nevyřeší, nemůže jeho konzultantská firma prosperovat. A až první vlna zájmu opadne a o jeho vystoupení už nebude zájem, může začít uvažovat o návratu ke starému způsobu života. Mitnick něco takového nepřipouští: „Už do toho nespadnu. Taková možnost neexistuje.“
Mitnick hodlá světu dokázat, že se opravdu změnil. Umožnil BusinessWeeku prostřednictvím série interview a rozhovorů s rodinou a přáteli nahlédnout do svého nového života. Podrobně vylíčil svou dlouhou, neobvyklou kariéru hackera, dobu strávenou vězení, roky na útěku i svou snahu smířit se sám se sebou a se společností.
Jako obézní, neoblíbený výrostek z kalifornského Van Nuys Mitnick zoufale toužil po nějakém místě, kam by patřil, a způsobu, jakým by vynikl. Život počítačového piráta mu dal, co potřeboval. Byl jediným dítětem Shelly Jaffeové, servírky, která má za sebou čtyři rozvody a nespočetné neúspěšné aférky, většinou s muži, kteří se příliš nesnažili, aby její chytrý, ale hyperaktivní synek nesklouzl na šikmou plochu. Otce Alana, reklamního pracovníka v hudebním průmyslu, Kevin příliš nevídal.
Mitnick, ponechaný vlastnímu osudu, hledal únik v kouzlení. Ale karetní triky ho brzy začaly nudit, takže se začal zajímat o středoškolskou komunitu počítačových hackerů. Jejich kousky – krádeže počítačových hesel a nabourávání telefonních linek, aby mohli volat zadarmo – mu připadaly jako kouzla, ale na vyšší úrovni. „Byla v tom fascinace, dobrodružství a touha po vědění,“ vysvětluje Mitnick. „Chtěl jsem se dostat k nim do party.“ Ronen Rahaman, Mitnickův kamarád ze střední školy, vzpomíná: „Někdo chtěl za školu hrát ve fotbalovém mužstvu. Kevin chtěl být v jejím elitním týmu hackerů.“
Mitnicka hnala vpřed potřeba prosadit se. Hackeři se obvykle rekrutují z nepříliš oblíbených lidí, jichž se ostatní straní a kteří hledají způsob, jak ukázat, co v nich je. „Tím, že zneužijí systém, se snaží dokázat, co umí,“ konstatuje doktor Jerrold Post, ředitel programu politické psychologie na Univerzitě George Washingtona. Mitnick šokoval přátele svou odvahou. V šestnácti letech zavolal správci systému společnosti Digital Equipment (DEC). Předstíral, že je hlavní vývojář jejich nového produktu a přesvědčil ho, aby mu dal heslo. Uvnitř systému ale nic neukradl. Dostatečnou odměnou pro něj bylo, že se tam dostal.
Počítačové pirátství může být návykové a Mitnick to moc dobře ví. Když mu bylo kolem pětadvaceti, znovu se naboural do firmy DEC, byl zatčen a odsouzen za závažné počítačové podvody. Odseděl si rok, z toho osm měsíců na samotce. Přesto po propuštění neodolal vábení počítačové obrazovky a šanci na další velký průlom. „Je to, jako když jste na suchu a u dveří zazvoní chlápek s lajnou koksu,“ přibližuje Mitnick. „Přemlouvá vás: No tak, jenom jednou… to ti neublíží.“
Když jeho nové pirátské aktivity začala vyšetřovat FBI, uprchl a dva divoké roky strávil na útěku. Střídal jedno město za jiné, používal falešné identity a svůj hackerský návyk uspokojoval v řadě příležitostných zaměstnání – od systémového administrátora právní firmy až po analytika linky počítačové podpory v Seattlu. Choval se nenápadně a byl tak přesvědčivý, že jeho kolegy ani nenapadlo, že by se mohl po pracovní době nabourávat do nejlépe chráněných počítačových systémů světa. Policii unikal díky jejím vlastním systémům, s jejichž pomocí sledoval ty, kteří ho pronásledovali.
I na útěku byl Mitnick nabouráváním do cizích systémů přímo posedlý. Čeho všeho byl schopný? Shawn Nunley si Mitnickovy nájezdy dobře pamatuje. V únoru 1994 pracoval Nunley jako systémový administrátor firmy Novell, která vyrábí počítačový software. Jednou v noci mu Mitnick zavolal domů a představil se jako zaměstnanec Novellu jménem Gabe Nault. Tvrdil, že je na dovolené a kvůli nějakému projektu se potřebuje připojit k podnikové síti. Nunley Naulta neznal osobně, takže mu zavolal do hlasové schránky, aby se ujistil, že je to stejný hlas, který ho uprostřed noci vzbudil.
Mitnick byl ale o krok před ním. Už dřív zavolal síťovému technikovi Novellu a přesvědčil ho, aby změnil heslo Naultovy hlasové schránky. Potom tam nechal vlastní nahrávku. „Vypadalo to věrohodně. Přidělil jsem mu účet,“ přiznává Nunley, nynější ředitel technologického vývoje firmy NetScaler v kalifornské Santa Claře. Mitnick pokračoval dál a ukradl tajný kód k NetWaru, hlavnímu softwarovému produktu Novellu. Jen se na něj podíval, ani ho nepoužil.
Nakonec ale došlo i na Mitnicka. Na Štědrý den roku 1994 se naboural do počítače Tsutomu Shimomury, uznávaného bezpečnostního odborníka z počítačového centra San Diego Supercomputer Center. To neměl dělat. Shimomura se rozzuřil. Spojil se s FBI a společně Mitnicka pronásledovali dva měsíce, dokud ho neuštvali. Překvapili ho v bytě v Raleigh v Severní Karolíně, obklopeného telefonním vybavením a falešnými řidičskými průkazy.
Mitnick tvrdí, že se při svém druhém pobytu ve vězení rozhodl, že začne sekat dobrotu. Měl odepřen přístup ke všemu, o čem si jeho strážci mysleli, že by to mohl ve své cele použít k počítačovému pirátství – nesměl mít ani rádio. „Chovali se, jako bych byl Hannibal Lecter,“ rozčiluje se Mitnick. „Horší už to být nemohlo.“ Takže věnoval svou energii tomu, aby pomohl právníkovi se svým případem. „Kevinova touha být počítačovým pirátem vzešla z potřeby v něčem vyniknout,“ soudí jeho teta Chickie Leventhalová, kurátorka dohlížející na propuštěné na kauci. „Takže ji jen přesměroval na svou obhajobu.“ V roce 1995 byl obviněn z 48 podvodů prostřednictvím počítačů, elektronických médií a mobilních telefonů. Než byl roku 1999 uznán vinným v sedmi z nich, většinu svého pětiletého trestu si už odseděl.
Když Mitnickovi plynula zkušební lhůta podmínečného propuštění, snažil se položit základy dalšího normálního, zákona dbalého života. Napsal knihu. A i když sám na internet nesměl, díval se ostatním přes rameno, když surfovali po síti – jako člověk, který prospal celé roky a teď je fascinovaný, jak se počítačový svět za jeho dlouhé nepřítomnosti změnil. Navázal také rodinné vztahy. Dnes žije se svou přítelkyní Darci Woodovou a její sedmiletou dcerou v kalifornském městečku Thousand Oaks.
Ve své kanceláři ve West Los Angeles působí Mitnick jako puntičkářský organizátor. Všude s sebou nosí moderní elektronický diář BlackBerry, aby přišel na každou schůzku určitě včas. „Učí se, jak svou obsesi nasměrovat jinam, než k dělání potíží,“ prohlašuje Don Wilson, bývalý přítel Mitnickovy matky a jeden z jeho nejlepších kamarádů. „Úplně cítíte, jak se snaží svůj život od základů změnit.“
Policie ale pochybuje, že se Mitnick skutečně napravil. Agent FBI Kenneth G. McGuire III., který ho celé roky neúnavně pronásledoval, si myslí, že to Mitnick jenom hraje – a nakonec neodolá a znovu spadne do maléru. „Neprojevil žádnou lítost,“ argumentuje McGuire, který pracuje na dohled Mitnickovy agentury. „Smál se, když šel do vězení. Nemá za sebou nic, co by podpořilo jeho důvěryhodnost.“
Mitnick sám se při zmínce o lidech, kteří ho dostali do vězení, rozzuří. Když se ho zeptáte, jak chce přesvědčit lidi, aby mu začali věřit, pustí se do prudkých slovních výpadů, křičí a v konferenční místnosti své firmy bouchá do stolu. Rozzlobeně odmítá prokurátorovo tvrzení, že způsobil škody za pět až deset milionů dolarů, a trvá na tom, že si pětiletý žalář nezasloužil. „Soudce jen přiživil mýtus Kevina Mitnicka, jako bych byl nějaký internetový Usáma bin Ládin,“ rozčiluje se. „Chtěli vytvořit počítačového strašáka.“ Ještě 40 minut se vzteká, vyjmenovává všechny počítačové trestné činy, jež jsou mu připisovány a které nespáchal, a osočuje vládu, tisk i vězeňský systém, že se k němu chovaly nespravedlivě.
Potom se najednou zklidní, zrozpačití. Jako by se pan Hyde opět změnil v doktora Jekylla. Říká, že když vyšel z vězení a setkal se s některými ze svých obětí, uvědomil si závažnost toho, co dělal. Několika z nich se omluvil. „To, co jsem provedl, je neomluvitelné. Bohužel už se nemůžu vrátit a změnit to,“ lituje. „Nemůžu dělat nic než žít svůj život jinak.“
Mitnick přiznává, že odolat vábení počítačového pirátství není nijak jednoduché. Vypráví, jak se jednou připojil ke službě AOL Instant Messenger a zavalily ho pozdravy mladých fanoušků, kteří jeho internetovou přezdívku znali z rádia. Jeden z nich s přezdívkou Spikey 551 se přiznal, že se ve čtrnácti pokusil nabourat do systému America Online a ukrást hesla. „Měli mě během deseti minut,“ stěžoval si Spikey. Mitnick prý rychle odpověděl: „Nepřidělávej si problémy. Nechceš přece skončit jako já.“
A společnosti zase nechtějí skončit jako Mitnickovy oběti. Měly by poslechnout jeho varování a ucpat díry ve svých bezpečnostních systémech, za něž může důvěřivost zaměstnanců. Mitnick sice tvrdí, že bude sekat dobrotu, ale v kyberprostoru číhá celá nová generace a těší se, že překoná svého mistra.
Praporek1: Cesta do duše Kevina Mitnicka ukazuje, jak zranitelné jsou podniky vůči kriminalitě v kyberprostoru
Popisek: „Nechcete přece skončit jako já,“ říká nejznámější z hackerů.
Box1: Nenechte se napálit Jako ochranu proti útokům pomocí „sociálního inženýrství“ doporučuje bývalý hacker Kevin Mitnick následující:
OVĚŘUJTE PRAVOST VOLAJÍCÍHO – Pokud vám zaměstnanec, kterého neznáte, zavolá a chce důvěrné informace nebo soubory, zavěste a zavolejte mu zpátky, abyste se ujistili, že je opravdu tím, za koho se vydává.
POSKYTUJTE JEN NEZBYTNÉ INFORMACE – Než někomu pošlete citlivé podnikové informace, ověřte si u nadřízených, zda k nim má mít přístup.
NEVĚŘTE PRŮZKUMŮM – Neúčastněte se telefonických průzkumů. Sociální inženýři se v telefonu často vydávají za dodavatele, kteří potřebují údaje o zákaznících.
POZOR NA E-MAIL – Hackeři využívají sociální inženýrství i v elektronické poště. Použijí takový předmět a znění dopisu, aby to vypadalo, že vám zprávu poslal nějaký známý. Neklikejte na odkazy a nemažte soubory. Mohli byste tak pootevřít dvířka nějakému viru nebo hackerovi.
BUĎTE CHYTŘÍ – Nevyvěšujte na pracovišti citlivé informace, jako například hesla. Poslíčci a další návštěvníci mohou být přestrojení hackeři.
Popisek2:
BŮH POMSTY: „Neprojevil žádnou lítost,“ říká McGuire z FBI.
Graf:
CENA POČÍTAČOVÝCH ZLOČINŮ
ROČNÍ VÝDAJE NA BEZPEČNOSTNÍ SLUŽBY A PRODUKTY V OBLASTI IT
ODHAD
MILIARDY DOLARŮ
Pramen: Forrester Research
Box2:
CHYŤ HO, JESTLI TO DOKÁŽEŠ
Život a doba nechvalně známého hackera Kevina Mitnicka
6. srpna 1963 Kevin se narodil ve Van Nuys v Kalifornii servírce Shelly Jaffeové a reklamnímu pracovníkovi Alanu Mitnickovi. O dva roky později se rodiče rozvedli.
1981 Mitnick je poprvé zatčen za nabourání do počítačů společnosti Pacific Bell.
1987 Mitnick je znovu zatčen – tentokrát za nabourání do softwarové společnosti Santa Cruz Operation.
1989 Mitnick tráví rok ve vězení – z toho osm měsíců na samotce – za nabourání do systému společnosti Data Equipment. Před koncem tříleté podmínky se vrací k počítačovému pirátství. Po vydání zatykače se stává uprchlíkem.
15. února 1995 FBI vystopovala a zatkla Mitnicka v Raleigh v Severní Karolíně.
16. března 1999 Uznán vinným ze sedmi případů podvodu pomocí počítačů a elektronických médií.
21. ledna 2000 Mitnick je propuštěn z vězení o tři roky dříve, ale v průběhu tříleté podmínky nesmí na internet.
21. ledna 2003 Mitnick se poprvé po osmi letech přihlásil na internet – a začíná podnikat jako bezpečnostní poradce.
Popisek3:
DOPADEN: Hacker v poutech
Copyrighted 2002 by The McGraw-Hill Companies, Inc BusinessWeek
Překlad: Vladimír Nový, www.langpal.com
