CeBIT-deltagare på torsdagen blev offer för en rad väl genomförda hacks. Tack och lov var de inte illvilliga till sitt ursprung; istället var de livedemonstrationer av den ökända ex-hackern Kevin Mitnick.
Även om Mitnicks hackingfärdigheter en gång gav honom en plats på FBI:s lista över mest efterlysta, är han nu en världskänd säkerhetskonsult. Han och hans team av specialister använder olika metoder för intrång för att infiltrera kunder – inklusive stora Fortune 500-företag – och har en 100 % framgångsfrekvens.
Mitnick demonstrerade en rad imponerande hacks live på CeBIT-scenen, alla slutförda inom några minuter. Han fick full kontroll över riktade maskiner genom användning av beväpnade USB-enheter, Wi-Fi-åtkomstpunkter, PDF-filer och mer, samt kloning av trådlösa nyckelkort som många företag använder för att bygga åtkomst.
Vad som är anmärkningsvärt med Mitnicks metoder är dock att han hävdar att han under sin kriminella karriär aldrig använde program eller utnyttjar för att få systemåtkomst. Istället förlitade han sig på en teknik som kallas social ingenjörskonst.
Snarare än datorbrister förlitar sig detta system på att dra fördel av den svagaste aspekten av ett nätverk: de squishy, lättlurade människor som driver det. Genom att rikta in sig på anställda med lägre spak, mindre teknikkunniga, kan en angripare få åtkomst mycket lättare än genom att förlita sig på tekniska sårbarheter.
Under Mitnicks hackarkarriär fick han i första hand nätverksåtkomst genom att gå igenom skräpet hos företag och upptäckte att en stor mängd information – inklusive användarnamn och lösenord – helt enkelt kastades ut intakt. Detta gjorde det möjligt för honom att hacka sig in i över 40 företag innan han greps.
Mitnick säger att denna slapphet fortfarande finns i den moderna affärsmiljön. Han sa att i processen för sin konsultation, finner han och hans team att ”människor slänger mycket värdefull information i papperskorgen, även idag”, inklusive ”referenser [and] källkod”.
Denna taktik att utnyttja anställdas ovana vid teknik är också en nyckelkomponent i programvarubaserade attacker. Alla attacker som Mitnick visade på scenen krävde en viss grad av aktivering av användaren, vilket innebär att hackaren måste lura mål att acceptera skadlig programvara genom att maskera den som legitim programvara.
Detta görs ofta genom att klä ut skadlig kod så att den ser ut som pålitliga varumärken, till exempel Adobe Flash-uppdateringar. Det kan dock också göras via JavaScript-applets. Mitnick visade upp ett exempel med utgivaren som listades som Verified Secure Applet – detta är dock helt enkelt ett dummyföretag som Mitnick har skapat, och är ett vanligt trick som hackare använder för att lura mål.
Han lyfte också fram det faktum att ingen antivirusmjukvara har visat sig vara effektiv mot hot på hög nivå, där MacAffee i synnerhet inte kunde upptäcka många av hans liveattacker. Som han sa när han tillfrågades om NSA:s potentiella sårbarheter, ”Jag tror inte att något är hackersäkert”.
Kevin Mitnick, superhacker
Mitnicks meriter som säkerhetsexpert är svåra att hålla med om. Han nämns som ”världens mest berömda hacker”, och på toppen av hans illegala aktiviteter betraktades han av FBI som planetens främsta cyberbrottsling.
Från och med 17 års ålder började Mitnicks karriär genom telefonupptåg, med hjälp av ett system som kallas telefonfraser. Denna tidiga form av proto-hacking ledde också till att Apples medgrundare Steve Jobs och Steve Wozniak startade sitt företag och sålde ”blue box”-enheter till ”phreakers” på deras Berkeley-campus.
Phreaking innebar att manipulera det allmänna telefonnätet på olika sätt, ofta för att undvika långdistansavgifter, men det fanns många andra applikationer. Till exempel skröt Mitnick om att han använde systemet för att koppla in NSA:s telefonlinjer när han var 17, och sa (med ett litet mått av stolthet) att han ”avlyssnade avlyssnarna”.
Mitnick har alltid hävdat att hans hacks var ett resultat av hans kärlek till teknik och att utforska nya sätt att använda den. Ett särskilt exempel han delade var när han ville undersöka källkoden för den fasta programvaran för ett nytt flaggskepp från Motorola, främst av intresse.
Ett utmärkt exempel på social ingenjörskonst i aktion, han ringde helt enkelt Motorola, och efter några omdirigeringar skickades han vidare till någon med tillgång till källkoden. Genom att utge sig för att vara en högt uppsatt projektledare kunde han övertyga en anställd att skicka källkoden till honom, allt utan tillgång till en dator.
På frågan om hotnivån som dagens nätverk står inför, sa han att ”nu har du mycket fler hackverktyg tillgängliga, mycket fler källor i samhället”. Men han sa också att ”det är en slags balans”, med en växande trend av integritetsmedvetenhet hos användare, såväl som ett ökande utbud av säkerhetsverktyg.
Som Mitnick noterade i sin intervju, ”när jag gick i gymnasiet var hacking coolt, och du blev uppmuntrad att göra det”. Han uppgav dock att även om han gjorde det för den ”intellektuella nyfikenheten, jakten på kunskap och förförelsen av äventyr”, sker nu en stor del av hackningen på illvillig eller vinstdrivande grund.
