Начало » Мисли » Кевин Митник

Кевин Митник

Кевин Дэвид Митник (Kevin David Mitnic) (1963)
американски консултант по компютърна безопасност, писател и бивш хакер

Хакерите разбиват системите за печалба. Преди това беше за интелектуално любопитство и стремеж към знания и тръпка, а сега хакването е голям бизнес.

Компаниите харчат милиони долари за защитни стени, криптиране и устройства за защитен достъп и това е загуба на пари, тъй като нито една от тези мерки не е насочена към най-слабото звено във веригата за сигурност: хората, които използват, администрират, оперират и отчитат компютърни системи, които съдържат защитена информация.

Трябва ли да се страхуваме от хакери? Намерението е в основата на тази дискусия.

В крайна сметка целта ми беше да бъда най-добрият хакер.

Никога не можете да се защитите на 100%. Това, което правите, е да се предпазите колкото е възможно повече и да намалите риска до приемлива степен. Никога не можете да премахнете всички рискове.

За някои хора винаги ще бъда лошият човек.

Бях пристрастен към хакерството, повече заради интелектуалното предизвикателство, любопитството, съблазняването на приключенията; не за кражба, причиняване на щети или писане на компютърни вируси.

Социалното инженерство използва манипулация, влияние и измама, за да накара човек, доверен вътрешен човек в организацията, да се съобрази с искане, а искането обикновено е да се предостави информация или да се извърши някакъв вид действие, което е от полза за този нападател.

Хакерите стават все по-сложни в измислянето на нови начини за отвличане на вашата система, като използват технически уязвимости или човешката природа. Не ставайте следващата жертва на безскрупулни натрапници в киберпространството.

Хакерското мислене всъщност не вижда какво се случва от другата страна, на жертвата.

Случайно съм известен. Нямам контрол над това.

Основната ми цел на хакването беше интелектуалното любопитство, съблазняването на приключенията.

Постоянно се появяват нови вратички в сигурността поради безжичните мрежи. Играта на котка и мишка между хакери и системни администратори все още е в разгара си.

Една компания може да похарчи стотици хиляди долари за защитни стени, системи за откриване на проникване и криптиране и други технологии за сигурност, но ако нападателят може да се обади на едно доверено лице в рамките на компанията и този човек се съобразява и ако нападателят влезе, тогава всичко това парите, изразходвани за технологии, по същество се прахосват.

Ключът към социалното инженерство е да се повлияе на човек да направи нещо, което позволява на хакера да получи достъп до информация или вашата мрежа.

Като малко момче ме научиха в гимназията, че хакването е готино.

Всичко навън е уязвимо за атака при достатъчно време и ресурси.

Това, което аз лично открих, че е вярно, е, че е по-лесно да се манипулират хората, отколкото технологиите.

Боклукът може да предостави важни подробности за хакерите: имена, телефонни номера, вътрешен жаргон на компанията.

За обикновения домашен потребител антивирусният софтуер е задължителен.

Ако хакерите, ако някой извършва престъпно деяние, иска да намали своя риск, те очевидно не включват никой друг. Колкото по-голям е кръгът от хора, които знаят какво правите, толкова по-голям е рискът.

Не бях хакер за парите и не трябваше да причини щети.

Сигурността винаги ще бъде игра на котка и мишка, защото ще има хора, които търсят наградата нулев ден, имате хора, които нямат управление на конфигурацията, нямат управление на уязвимостите, нямате управление на пачове.

Мисля, че злонамереният софтуер е значителна заплаха, защото смекчаването, подобно на антивирусния софтуер, не е еволюирало до точка, за да смекчи наистина риска в разумна степен.

Заплаха ли са хакерите? Степента на заплаха, представена от всяко поведение, независимо дали е законно или незаконно, зависи от действията и намерението на лицето и вредата, която те причиняват.

Някои хора смятат, че технологията има отговорите.

Вярно е, бях хакнал в много компании и взех копия на изходния код, за да го анализирам за грешки в сигурността. Ако можех да намеря грешки в сигурността, бих могъл да стана по-добър в хакването на техните системи. Всичко беше към това да стана по-добър хакер.

Бизнесът трябва абсолютно да отдели финансиране в бюджетите си за консултанти по сигурността. Освен ако няма експерт в персонала, а обикновено няма, той трябва да бъде възложен на външни изпълнители.

И социалното инженерство, и техническите атаки изиграха голяма роля в това, което успях да направя. Беше хибрид. Използвах социално инженерство, когато беше подходящо, и използвах технически уязвимости, когато беше подходящо.

Моите действия представляваха чисто хакване, което доведе до сравнително незначителни разходи за участващите компании, въпреки фалшивите твърдения на правителството.

Бях очарован от телефонната система и как тя работи; Станах хакер, за да получа по-добър контрол над телефонната компания.

Сега ме наемат да хакна компютри и понякога всъщност е по-лесно, отколкото преди години.

Използвайте лична защитна стена. Конфигурирайте я, за да предотвратите свързването на други компютри, мрежи и сайтове към вас, и посочете кои програми имат право да се свързват към мрежата автоматично.

Видях себе си като електронен ездач на радост. Бях като Джеймс Бонд зад компютъра. Просто се забавлявах.

Все още съм хакер. Сега ми плащат за това. Никога не съм получавал никаква парична печалба от хакването, което направих преди. Основната разлика в това, което правя сега, в сравнение с това, което направих тогава, е, че сега го правя с разрешение.

От дете, което обичаше да изпълнява магически трикове, се превърнах в най-известния хакер в света, от който се страхуват корпорациите и правителството.

Няма начин, няма как проникна в НОРАД. Това е пълен мит. И никога не съм се опитвал да осъществя достъп до нещо, което се счита за класифицирани правителствени системи.

Хакерът не унищожава умишлено данни или печели от дейността си.

Толкова се запалих по технологиите. Хакването за мен беше като видео игра. Ставаше дума за получаване на трофеи. Просто продължавах и продължавах, въпреки всичките неприятности, в които се забърквах, защото бях закачен.

Използвам Mac. Не защото е по-сигурен от всичко останало - защото всъщност е по-малко защитен от Windows - но го използвам, защото все още е под радара. Хората, които пишат злонамерен код, искат най-голяма възвръщаемост на инвестицията си, затова се насочват към системите на Windows. Все още работя с Windows във виртуални машини.

Можех да избягвам от ФБР много по-дълго, ако бях в състояние да контролирам страстта си към хакерството.

Хакването ми включваше до голяма степен проучване на компютърни системи и получаване на достъп до изходния код на телекомуникационни системи и компютърни операционни системи, защото целта ми беше да науча всичко, което мога за уязвимостите в сигурността в тези системи.

Хакването използва контроли за сигурност или в технически, физически или човешки елемент.

Много компании не знаят, защото харчат по-голямата част или целия си бюджет за сигурност за високотехнологична сигурност като противопожарни стени и биометрично удостоверяване - които са важни и необходими - но след това не обучават хората си.

Характеризирам се като пенсиониран хакер. Прилагам това, което знам, за да подобря сигурността в компаниите.

Мога да вляза в LinkedIn и да потърся мрежови инженери и да изляза със списък със страхотни цели за фишинг, защото те обикновено имат администраторски права в мрежата. След това влизам в Туитър или Фейсбук и ги подмамвам да направят нещо и имам привилегирован достъп.

Когато някой поиска услуга, включваща информация, ако не го познавате или не можете да потвърдите самоличността му, просто кажете не.

Социалното инженерство използва измама, манипулация и влияние, за да убеди човек, който има достъп до компютърна система, да направи нещо, като щракване върху прикачен файл в имейл.

Вярвам, че всяко устройство трябва да бъде защитено и да наблюдава всяко устройство, а не просто да наблюдавам цялостно в мрежата и след това да реагираме за достатъчно кратко време за контрол на щетите.

Хакерската тенденция определено се превърна в престъпна заради електронната търговия.

Доверявам се на онлайн банкирането. Знаеш ли защо? Защото, ако някой проникне в акаунта ми и измами компанията ми за кредитна карта или онлайн банковата ми сметка, познайте кой поема загубата? Банката, не аз.

Донякъде е интересно, защото хакването е умение, което може да се използва за престъпни цели или легитимни цели, така че въпреки че в миналото хакнах от любопитство и тръпка, за да отхапя от забранения плод на знанието, Сега работя в областта на сигурността като публичен говорител.

Не навсякъде работи по същия начин. Американците са най-лековерни, защото не обичат да отказват молби на колеги. Хората в страните от бившия съветски блок са по-малко доверчиви, може би поради предишния си опит с тайните служби на техните страни.

Ако имах нужда да разбера за експлойт на сигурността, предпочитах да получа информацията, като осъществя достъп до файловете на екипите по сигурността на компаниите, вместо да преглеждам редове код, за да я намеря сам. Просто е по-ефективно.

Мисля, че кибертерористичната атака е преувеличена, въпреки че заплахата съществува. Мисля, че Ал Кайда и други групи се интересуват повече от символичния тероризъм, като това, което направиха със Световния търговски център - атентатори самоубийци или нещо, което наистина има ефект и има значение за хората.

От друга страна, моят случай беше свързан с незаконното присвояване на изходен код, защото исках да стана най-добрият хакер в света и ми беше приятно да бия механизмите за сигурност.

Интернет е като телефона. Да си без него е смешно.

Аз съм експерт по дело, което е обжалвано за човек, за който се твърди, че е присвоил изходен код от голяма, голяма компания - той всъщност е работил там и след това очевидно са го намерили на лаптопа му по-късно.

Всеки тип операционна система, която исках да мога да хакна, аз основно компрометирах изходния код, копирах го в университета, защото нямах достатъчно място на моя 200 мегабайтов твърд диск.

Така че това, което по същество правех, беше, че компрометирах поверителността на техния собствен софтуер, за да усъвършенствам програмата си да стана най-добрият в разбиване на ключалката.

Вземах глупави решения като дете или като млад възрастен, но сега се опитвам да бъда, опитвам се да взема този лимон и да направя лимонада.

Разбира се, сигурен съм, че половината хора там ме мразят и половината хора ме харесват.

Така че етиката, която ми бе преподавана в училище, доведе до пътя, който избрах в живота си след училище.

Всичко, което трябва да направят, е да създадат някъде уебсайт, който продава някакъв фалшив продукт на двадесет процента от нормалните пазарни цени и хората ще бъдат подмамени да предоставят номерата на кредитните си карти.

Навремето щях да изследвам на ръка. Сега можете да получите търговски софтуер, който върши работата вместо вас.

Перфектният ПИН не е четирицифрен и не е свързан с живота ви, като стар телефонен номер. Това е нещо лесно за запомняне и трудно за другите хора да отгатнат.

Получих огромен прилив на ендорфин, когато успях да разбия система, защото беше като видео игра.

Всъщност това е по-умно престъпление, защото си представете, ако ограбите банка или търгувате с наркотици. Ако ви хванат, ще прекарате много време в ареста. Но с хакването е много по-лесно да се извърши престъплението и рискът от наказание е нисък.

Хакването на компютър наистина води до финансови загуби и неприятности. Целите на терористичните групи са по-сериозни. Това не означава, че кибергрупите не могат да получат достъп до телефонен превключвател в Манхатън в ден като 11 септември, да го изключат и следователно да причинят повече жертви.

Когато нападателят се провали с един човек, той често отива при друг човек. Ключът е да докладвате за атаката на други отдели. Работниците трябва да знаят да се държат така, сякаш се съгласяват с това, което хакерът иска и да водят изобилие от бележки, така че компанията да знае какво се опитва да намери хакерът.

Моят аргумент не е, че не е трябвало да бъда наказан, а че наказанието не отговаря на престъплението.

Оракъл, например, дори е наела хора, които да търсят информация за своя конкурент Майкрософт. Това дори не е незаконно, защото боклукът не е обхванат от законите за поверителност на данните.

Наемат ме от компании, за да проникна в техните системи и да проникна във физическите им съоръжения, за да намеря дупки в сигурността. Успеваемостта ни е 100%; винаги сме намирали дупка.

Митът за Кевин Митник е много по-интересен от реалността на Кевин Митник. Ако показваха реалността, никой нямаше да го интересува.

Изборът на трудна за отгатване, но лесна за запомняне парола е важен!

Моето хакване беше свързано с това да стана най-добрият в заобикалянето на сигурността. Така че, когато бях беглец, работех като системен администратор, за да печеля пари. Не съм крал пари или съм използвал кредитни карти на други хора. Вършех работа от 9 до 5.

Бях завършен компютърен нарушител. Не се смятам за крадец. Копирах без разрешение.

Да бягам не беше забавно, но това беше нещо, което трябваше да направя. Всъщност работех на законни работни места. Не живеех с кредитни карти на хората. Живеех като герой от филм. Беше пърформанс изкуство.

Това, което се случва с по-малкия бизнес, е, че те се поддават на погрешното схващане, че сайтът им е защитен, защото системният администратор е внедрил стандартни продукти за сигурност – защитни стени, системи за откриване на проникване или по-силни устройства за удостоверяване като базирани на време токени или биометрични смарт карти. Но тези неща могат да бъдат експлоатирани.

Повечето хора приемат, че след като софтуерът за сигурност е инсталиран, те са защитени. Това не е така. Изключително важно е компаниите да бъдат активни в мисленето за сигурността в дългосрочен план.

Не познавам възможностите на нашите врагове. Но открих, че е доста лесно да заобиколя сигурността в определени телефонни компании в Съединените щати. Така че, ако едно любознателно дете може да го направи, защо да не го направи кибертерорист?

Бих могъл да се представя като представител на Yahoo, който твърди, че е имало някаква грешка и някой друг получава имейла ви и ще трябва да премахнем акаунта ви и да го инсталираме отново. Така че това, което ще направим, е да нулираме текущата парола, която имате - и между другото, каква е тя?

Не одобрявам никого, който причинява щети от мое име или прави нещо злонамерено в подкрепа на моето положение. Има по-продуктивни начини да ми помогнете. Аз самият като хакер никога не съм повредил нищо умишлено.

Най-доброто нещо, което трябва да направите, е винаги да съхранявате произволно генерирани пароли навсякъде и да използвате инструмент за пароли, за да ги управлявате, и тогава изобщо не е нужно да помните тези пароли, а само главната парола, която отключва базата данни.

Във Фейсбук има функция, където можете да активирате сигурността, която проверява устройството, от което идвате. По подразбиране тези функции вероятно са изключени, но като потребител можете да ги активирате.

Обичам да решавам пъзели, обичам да заобикалям препятствията и обичам да научавам нови неща за технологиите.

Една от любимите ми шеги за всички времена беше получаването на неоторизиран достъп до телефонния превключвател и смяната на класа на услугата на колега телефонен измамник. Когато се опитваше да се обади от вкъщи, той получаваше съобщение, което му казваше да внесе стотинка, защото превключвателят на телефонната компания получаваше вход, който показваше, че се обажда от телефонен автомат.

Обикновено компаниите ме наемат и знаят много добре кой съм и това е една от причините да искат да ме наемат.

Защитата на себе си е голямо предизвикателство във враждебната среда на Интернет. Представете си глобална среда, в която безскрупулен човек от другия край на планетата може да изследва вашия компютър за слабости и да ги използва, за да получи достъп до най-чувствителните ви тайни.

Архивирайте всичко! Вие не сте неуязвими. Може да ви се случи катастрофална загуба на данни - един червей или троянски кон е всичко, което е необходимо.

Да не ти е позволено да използваш интернет е нещо като да не ти е позволено да използваш телефон.

Патриотичният акт е смешен. Терористите доказаха, че се интересуват от тотален геноцид, а не от фини хакове в инфраструктурата на САЩ, но въпреки това правителството иска празна заповед за обиск, за да шпионира и следи комуникациите на всички.

Правителството прави неща като настояване, че всички програми за криптиране трябва да имат задна врата. Но със сигурност никой не е достатъчно глупав, за да си помисли, че терористите ще използват криптиращи системи със задна врата. Терористите просто ще наемат програмист, който да измисли сигурна схема за криптиране.

Помислете за това: ако управлявате компания за милиони долари и вашата база данни с информация за клиентите е открадната, бихте ли искали да кажете на клиентите си? Не. Повечето компании не го направиха, докато законите не ги изискваха. В интерес на организациите е - когато са атакувани и информацията е открадната - да не казват на никого.

Не знам за нито един случай, който включва хакване на компютър, в който да са били обвинени множество обвиняеми, когато не е имало информатор по случая.

Дълго време бях представян като Осама бин Ладен в Интернет и наистина исках да мога да разкажа моята страна на историята. Исках да мога да обясня какво точно съм правил и какво не съм направил на хора, които си мислеха, че ме познават.

Девет от всеки 10 големи корпорации и правителствени агенции са били атакувани от компютърни натрапници.

Вече не съм беглец. Никога няма да бъде в бъдеще. След като прекарахте пет години в затвора, вие научавате урока си. Никога не искам да се връщам там.

Хората са склонни да използват умствени преки пътища. Те може да знаят, че не трябва да дават определена информация, но страхът да не бъдат добри, страхът да не се появят невежи, страхът от възприеман авторитет - всичко това са тригери, които могат да бъдат използвани от социалния инженер, за да убеди лице, което да отмени установените процедури за сигурност.

Проникването в сигурността на компанията често започва с това, че лошият човек получава някаква информация, която изглежда толкова невинна, толкова ежедневна и маловажна, че повечето хора в организацията не виждат причина, поради която артикулът трябва да бъде защитен и ограничен.

Ако отидете в кафене или на летището и използвате отворена безжична връзка, бих използвал VPN услуга, за която бихте могли да се абонирате за 10 кинта на месец. Всичко е криптирано в тунел за криптиране, така че хакерът не може да подправи вашата връзка.

Няма кръпка за глупост.

Социалното инженерство заобикаля всички технологии, включително защитни стени.

Най-доброто място за скриване на труп е на втората страница от резултатите от търсенето.

Повечето хора просто искат да угодят на някого.

Фактите са: живеем с илюзията, че личният ни живот е поверителен и тази ситуация вероятно продължава няколко десетилетия.

Един пример: баща ми вземаше рулетка и измерваше разстоянието между закачалките в килера, за да се увери, че те висят на един инч един от друг. Сега умножете това по нервността и приложете към всяко малко нещо в тристаен апартамент. След това ще започнете да разбирате в какъв кошмар съм живял.

Когато крадете пари или неща, някой забелязва, че те липсват. Ако сте откраднали информация, често никой няма да забележи, тъй като информацията все още остава при собственика.

Получаване на достъп до изходния код... беше нещо като тайната съставка. Исках да разбера каква е тайната.

Моето послание днес е основно същото... Обикновено обикалям и говоря за заплахата от човешкия елемент, особено за социалното инженерство.

Така че това, което трябва да направите, е да мислите за удостоверяване на транзакциите с кредитна карта повече, отколкото да мислите за закриване на номера на кредитната карта.

По времето, когато книгите бяха пуснати, аз бях в ареста, така че имах по-високи приоритети – да се занимавам с моето наказателно дело – отколкото да се занимавам със съдебни спорове. Има много информация, която е неточна.

Това не е почетен знак, на който се радвам,... никога не съм имал злонамерени намерения. Никога не съм се опитвал да нараня някого или да повредя нещо.

Това все още е просто решаване на пъзел, ... Преди години, с лоша преценка, бях заинтригуван да пробия сигурността на компютърните системи. Сега го правя с разрешението на клиента, по социално приемливи причини.

По принцип гледам на това като... ако човекът хакне Citibank и открадна милиони долари, щях ли да го наема да подсигури банката си? Може би не!

Не можете да отидете в Windows Update и да получите кръпка за глупост.

Намерението на хората, създали DDoS атаките, няма нищо общо с хакването и те са вандали, а не хакери.

Когато бях в затвора, колумбийски наркобос ми предложи 5 милиона долара в брой, за да манипулирам компютърна система, така че да бъде освободен. Отказах му.

Получих поверителна информация по същия начин, по който го направиха държавните служители, и направих всичко, без дори да докосвам компютър. ... Бях толкова успешен с тази линия на атака, че рядко ми се налагаше да вървя към техническа атака.

Социалните инженери се забулват в наметало на правдоподобност.



XX век | XXI век | САЩ | писатели | консултанти |
САЩ писатели | САЩ консултанти | САЩ XX век | САЩ XXI век | писатели XX век | писатели XXI век | консултанти XX век | консултанти XXI век

Добави коментар

Режим на клавиатурата: ENG
Обратно горе