_Cibersegurança

Kevin Mitnick, o hacker mais notório do mundo, responde as perguntas que você sempre quis fazer

Kevin Mitnick foi um dos primeiros hackers intencionalmente conhecidos, um dos primeiros magos a instaurar o medo dos deuses dos bits e bytes nas pessoas comuns. Ele hackeou Los Angeles, Motorola, Nokia, Sun Microsystems e Fujitsu Siemens antes de ser finalmente pego pelo FBI. O Gizmodo US e o io9 colocaram Mitnick em um interrogatório […]

Kevin Mitnick.

Kevin Mitnick foi um dos primeiros hackers intencionalmente conhecidos, um dos primeiros magos a instaurar o medo dos deuses dos bits e bytes nas pessoas comuns. Ele hackeou Los Angeles, Motorola, Nokia, Sun Microsystems e Fujitsu Siemens antes de ser finalmente pego pelo FBI.

O Gizmodo US e o io9 colocaram Mitnick em um interrogatório (do bem!) conduzido pelos leitores. Era jogo rápido: o pessoal perguntava, o hacker respondia logo em seguida. Dentre as muitas perguntas feitas e respondidas, separamos as mais legais, curiosas e úteis. Antes, porém, um pequeno relato do próprio Mitnick:

“No fim do Ensino Médio, deixaram eu assistir a uma aula de ciência da computação na Monroe High School. Para lhe dar uma ideia da tecnologia naquela época, usávamos um modem acoplador acústico e um terminal de teletipo. Então quando você escrevia programas em Basic e Fortran no computador, você os digitava no teletipo e podia ouvi-lo disparar enquanto formava seu programa. Era quase como mágica para mim. Eu poderia escrever programas nesse terminal que se conecta a este cérebro computacional que o manda fazer o que eu quiser.

Mas de volta à aula. Tínhamos um professor que nos deu uma tarefa para escrever um programa em Fortran para encontrar os 100 primeiros números da sequência de Fibonacci. Achei um desafio bem tedioso. Em vez disso, escrevi o primeiro programa de phishing. Batizei ele de “Login Simulator”. De volta, quando um aluno ou professor fosse se logar no computador, ele escreveria “Hello” e o computador então pediria para que a pessoa entrasse com seu número da conta e senha. Dali, o meu programa simularia aquela tela de login, guardaria a informação em um arquivo e então registrá-los de modo que eles nem percebessem.

Quando o meu instrutor veio a mim e me pediu a tarefa, em vez dela mostrei o meu Login Simulator e todas as informações das contas que havia coletado. Ele me deu nota máxima. Hoje, eu provavelmente seria preso. Houve outras pegadinhas engraçadas naquela época, como trocar o telefone da casa dos pais de um amigo por uma linha paga que pediria 25 centavos quando eles atendessem, mas foi aquele projeto que realmente definiu o meu amor pelo hacking.”

Perguntas e respostas com Kevin Mitnick

Codin Moldovanu: Como você começou o que o manteve nisso?

Kevin Mitnick: Mágica… começou com o meu fascínio na mágica que me levou ao phreaking (hacking de telefones) e, enfim, ao hacking. A habilidade de manipular os sistemas de uma empresa de telefonia para pregar peças era viciante.

mountainman: Você tem o dom com computadores (antes e hoje) ou apenas devotou muito tempo às suas atividades? Com as suas habilidades pessoais, o que faz hoje e o que planeja estar fazendo no futuro?

KM: Eu tinha uma paixão profunda em aprender sobre rádios, telefonia e computadores. Isso me motivou a aprender muito por conta própria.

snake: Qual o melhor software para proteger computadores contra vírus e hackers?

KM: Essa é difícil. A maioria, se não todos os softwares podem ser derrotados se o tempo e recursos necessários estiverem disponíveis. Claro, você deve usar um antivírus para não ser um alvo fácil. Recomendo atualizar não só os componentes do seu sistema operacional, mas também o software do seu desktop. Seria legal dar uma olhada no Personal Software Inspector — é gratuito.

herosp: Kevin, qual a sua opinião sobre as atividades de cracking/script-kiddie de grupos como Annonymous, Lulzsec etc.?

KM: É obviamente uma atividade de alto risco para somente dar umas risadas. Meio idiota, se quer saber.

Bill Surowiecki: Qual a sua opinião sobre coletivos de hackers como o Annonymous? Você acha que eles merecem essa fama de personificação do mal que recebem, concorda com a ideia meio Robin Hood que alguns usam para descrever o grupo, ou talvez um pouco de ambos?

KM: Acho que é uma forma de desobediência civil que se popularizou por causa de toda a atenção da mídia. Não acho que esses caras mereçam ir para a prisão, mas eles deveriam se concentrar em usar seu tempo de uma maneira mais positiva.

ENDOX: Hoje é comum fazerem remakes de vários filmes épicos. Você gostaria de fazer um remake do filme “Hackers 2: Operación Takedown”? Assim, como um ator.

KM: Takedown ou Trackdown não é uma história real. Ela foi vagamente baseada no livro de John Markoff “Takedown”, que era falso e difamatório. Estou trabalhando no desenvolvimento de um filme baseado na história verdadeira.

MaxPoint: A sua vida tem algo a ver com o filme “Swordfish”, de 2001?

KM: De forma alguma.

thesalad: Algum plano para filme ou livro, agora que já passou da marca dos sete anos? Foi difícil inverter papéis para um consultor de segurança depois de a tecnologia ter mudado tanto enquanto você esteve “afastado”?

KM: Trabalho no desenvolvimento de “Ghost in the Wires”  em um filme ou série para a TV.

arturoaviles: Algumas dicas para começar a ser um hacker? (não um cracker). Livros, vídeos, sites…

KM: Você pode considerar aprender sobre Metasploit como ferramenta de testes depois que entender os fundamentos. Dê uma olhada no livro de Dave Kennedy sobre Metasploit.

Wiggin05: O que você acha do serviço na nuvem? É seguro o bastante?

KM: A computação na nuvem criou um ambiente mais complexo que levou a mais vulnerabilidades. Eu seria cauteloso sobre ter dados sensíveis armazenados na nuvem. Acho que uma abordagem híbrida é mais segura: guarde informações sensíveis localmente.

Jwyanze: Você acha que a computação na nuvem em breve acarretará a extinção dos computadores pessoais com armazenamento local, já que tudo estará guardado na nuvem com apenas um tipo de thin-clilent acessando os dados?

KM: Parece que caminhamos nessa direção. O governo iria gostar porque ele poderia olhar todos os seus dados sem que você sequer soubesse. É meio assustador.

jdWarcres: Estava me perguntando como você começou em engenharia social. Foi uma evolução natural que lhe permitiu ir mais a fundo no hacking ou algo que desenvolveu lentamente com o tempo? Qual foi a sua primeira experiência em engenharia social?

KM: Comecei a usar engenharia social nos anos 1970 para conseguir informações de uma companhia telefônica. Acho que a primeira vez que a usei  foi para descobrir onde comprar um passe livre de motorista de ônibus — para andar no sistema de transportes de graça, quando tinha 12 anos. A história está no Ghost in the Wires. Aprendi engenharia social com meu tio, que tinha a habilidade de fazer qualquer um concordar em realizar seus pedidos.

cornmollie: Escrevi um relatório sobre engenharia social para a faculdade que me garantiu uma boa nota, entretanto meu professor discutiu comigo dizendo que devido a toda a tecnologia sofisticada que existe por aí, como bots, programas autômatos e spiders, a arte da engenharia social per si está morrendo. Você concorda?

KM: Não, a engenharia social não está morrendo. Na realidade, a maioria dos ataques bem sucedidos em agências governamentais e empresas, hoje, tem na engenharia social um importante componente. Em toda avaliação de segurança em engenharia social até hoje, fomos 100% bem sucedidos. Então a pergunta é: somos realmente bons, ou as empresas ignoram a ameaça do fator humano?

Shanee_57: Qual a sua visão sobre as redes sociais de hoje? Quão sensível são as informações usadas para ataques de engenharia social…?

KM: O LinkedIn é uma ótima fonte para desenvolver uma lista de alvos durante um ataque de engenharia social.

stuxnet23: Qual, na sua opinião, é a maior ameaça às redes hoje?

KM: Aplicações mal codificadas, arquiteturas de redes ruins, falhas na atualização de componentes do sistema operacional e o fator humano: ser suscetível à engenharia social.

DahktahWaltahs: Você está sempre tentado a hackear alguma coisa hoje? O que você hackearia hoje se não tivesse sido pego?

KM: Sim, eu invado redes e sistemas quase todo dia. Mas existe só uma diferença: eu tenho autorização para fazê-lo como teste de penetração. Acho que é como se o Pablo Escobar virasse um farmacêutico :-)

romanshaikh: Você acha que o hacking, hoje, se tornou mais difícil/desafiador do que nos velhos tempos? Ou ficou mais simples do que naquela época?

KM: É uma faca de dois gumes. Nos anos 1990, explorar frameworks e código não era tão disponível na Internet como hoje. Você tinha que criar seu próprio código para atingir um alvo. Por outro lado, as empresas eram menos proativas na implantação de controles de segurança em relação a hoje. Agora isso mudou 180º: as empresas são mais cuidadosas na parte de segurança, mas a ameaça é mais significativa porque as ferramentas para comprometer os sistemas e redes estão disponíveis gratuitamente e um monte de gente está interessada nisso.

Leonardo Martins [não, não é o nosso Leo]: Por comparação, o que você acha que mudou na cultura hacker dos anos passados para hoje? Você tem algum posicionamento sobre hacktivismo e futuro?

KM: Uma enorme mudança dos velhos tempos. O hacking para mim era baseado na aventura e na busca pelo conhecimento. Hoje, hackers usam-no para roubar dinheiro e irritar as pessoas publicando informações confidenciais (Anonymous, Lulzsec etc.).

Shanee_59: Onde você aprendeu a maior parte do que sabe? Fundamentos etc.

KM: Lendo e fazendo. Eu sou na maior parte autodidata. Eu tive que conseguir um “diploma”  técnico nos anos 1980 para conseguir um trabalho como programador, mas eu já sabia programar. Infelizmente, não programo mais atualmente porque ando muito ocupado.

wookieshaver: Sr. Mitnick, é uma honra. Escrevi dois trabalhos sobre as suas aventuras na busca pelo meu diploma de computação forense na Champlain; o primeiro em tecnologia e técnicas envolvidas na sua captura e o segundo nas falhas do sistema legal no processo de suspeitos digitais. Como você é relutante em revelar as suas escolhas em sistema operacional, qual sistema você recomenda para análise de invasão a redes e descoberta/segurança?

KM: Eu gosto do Ubuntu, Gentoo e VMS (haha).

JoshuaAquino: Depois de tudo o que aconteceu, você se arrepende de alguma coisa?

KM: Arrependo-me de ter causado problemas para as minhas vítimas do passado. Embora fosse um jogo para mim, isso causou problemas porque eles tiveram que investigar a situação e corrigir suas vulnerabilidades.

n0rdbasis: No dia em que você foi preso, ou pelo menos caiu em si que seria preso, você achou que foi injusto ou não? Se pudesse decidir, você prenderia a si mesmo ou a qualquer outro hacker?

KM: Sim, foi justo. Eu infingi a lei, mas o governo exagerou na punição para me usar como exemplo. Como dizer que causei centenas de milhões de dólares de prejuízo por olhar o código-fonte de vários sistemas operacionais e sistemas de celulares. O prejuízo de verdade foram os custos da licença do código-fonte, não do investimento inteiro em P&D.

alex_lee: Quais os seus planos para o futuro?

KM: Mudar o mundo de alguma forma que ajude a humanidade a viver melhor.

Lana, Lana… LANAAAAAAA!!!: Como eu posso ter certeza de que você não hackeou a minha conta e fez login em meu nome e está agora fazendo essa pergunta para si mesmo?

KM: Sim, peguei a sua senha agora. Belo golpe de phishing, não?

CuriosityKilledMe: É verdade que os melhores hackers são os hackers desconhecidos?

KM: Talvez :-)

Sair da versão mobile