Page 53 - Linux Inside τ. 11

Linux Inside
53
Κοινωνική Μηχανική
έναν απελπισμένο συνάδελφό του! Ουσιαστικά λοιπόν μέσω
της κατανόησης της κοινωνικής μηχανικής δεν θα μάθουμε
απλώς πώς να αντιμετωπίζουμε τους hackers. Κυρίως θα
δούμε πώς να αντιμετωπίζουμε δύο πολύ μεγαλύτερους κιν-
δύνους: την ανθρώπινη φύση και τον ίδιο τον εαυτό μας. Ας
περάσουμε όμως στον ίδιο τον Kevin Mitnick και τα... κατορ-
θώματά του.
Τα «κατορθώματα» του Mitnick
Η επαφή του Kevin με την κοινωνική μηχανική ξεκίνησε
στην ηλικία τον 12 ετών. Κάνοντας τις κατάλληλες ερωτήσεις
σε έναν οδηγό λεωφορείου, κατανόησε το μηχανισμό με τον
οποίο φτιάχνονταν τα διάτρητα εισιτήρια των μέσων μαζικής
μεταφοράς του Λος Άντζελες. Μη φανταστείτε κάτι τρελό.
Απλώς έμαθε πού μπορεί να αγοράσει ένα δικό του σύστημα
διάτρησης και το έκανε. Έτσι, ο μικρός Kevin μπορούσε να
ταξιδεύει στην πόλη του δωρεάν!
Στο Λύκειο μυήθηκε από το «τηλεφρικιό» με το παρατσού-
κλι Petronix στο λεγόμενο phone phreaking. Το phone
phreaking ήταν πολύ διαδεδομένο εκείνη την εποχή και ήταν
ένα είδος hacking στα τηλεφωνικά δίκτυα που επέτρεπε δω-
ρεάν κλήσεις (σ.σ.: Για παράδειγμα, στα παλιά παλμικά συ-
στήματα τηλεπικοινωνιών υπήρχαν οι λεγόμενοι «αριθμοί
υπηρεσίας». Αν τους ήξερες, έκανες παιχνίδι!). Δωρεάν, βέ-
βαια, ήταν οι κλήσεις για τα τηλεφρικιά, αφού συνήθως τις
χρεωνόταν κάποια εταιρεία.
Οι γνώσεις του αλλά και η φήμη του άρχισαν να μεγαλώ-
νουν και σύντομα πέρασε σε πιο δύσκολους στόχους. Κατά-
φερε λοιπόν να υποκλέψει τον πηγαίο κώδικα του λειτουργι-
κού συστήματος VMS. Επίσης, απέκτησε δικαιώματα διαχειρι-
στή σε κάποιο μίνι υπολογιστή της IBM, απλώς και μόνο να
κερδίσει ένα στοίχημα και το χρηματικό έπαθλο της εταιρεί-
ας. Θύματά του έπεσαν οι εταιρείες Motorola, NEC, Nokia,
Sun, Fujitsu Siemens και πιθανότατα αρκετές άλλες, που
όμως δεν παραδέχθηκε επίσημα.
Σύντομα ο Kevin έγινε ο Νο 1 καταζητούμενος hacker στην
Αμερική και παρά το ανθρωποκυνηγητό που είχε εξαπολυθεί
εναντίον του από τις Αρχές, κατάφερνε να διαφεύγει επί σει-
ρά ετών. Χρησιμοποιώντας και πάλι τεχνικές hacking και κοι-
νωνικής μηχανικής, βρισκόταν πάντοτε ένα βήμα μπροστά
από τους διώκτες του... Για να περιγράψουμε όλα τα κατορ-
θώματα του Mitnick, θα χρειαζόμασταν ένα ολόκληρο τεύχος.
Αυτό που αξίζει να αναφέρουμε, είναι ότι η τρομολαγνεία που
είχαν καλλιεργήσει τα μέσα μαζικής ενημέρωσης και οι Αρχές
για το πρόσωπό του πήραν απίστευτες διαστάσεις. Η κοινή
γνώμη, αλλά ακόμη και ο εισαγγελέας που εξέδωσε το ένταλ-
μα σύλληψής του, είχαν πιστέψει ότι μπορούσε να εξαπολύ-
σει τα πυρηνικά των ΗΠΑ με τον υπολογιστή του ή με μία
απλή τηλεφωνική συσκευή!
Σειρά έχει τώρα να δούμε κάτι πιο χειροπιαστό και συγκε-
κριμένα διάφορα σενάρια κοινωνικής μηχανικής, ώστε να κα-
τανοήσουμε πώς μία φαινομενικά αθώα απάντηση μπορεί να
έχει σοβαρές επιπτώσεις.
Η πιστωτική κάρτα του Κώστα
Ο Κώστας πρόσφατα έμαθε να χρησιμοποιεί Linux. Δου-
λεύει πολύ προσεκτικά με τον υπολογιστή του και κάνει ελάχι-
στες συναλλαγές μέσω Διαδικτύου και πάντα σε αξιόπιστες
ιστοσελίδες. Πού και πού νοικιάζει μερικές ταινίες από το βι-
ντεοκλάμπ της γειτονιάς του. Ο Κώστας αισθάνεται σίγουρος
για την πιστωτική κάρτα του. Μόνο που ο κοινωνικός μηχανι-
κός Γιάννης την έχει βάλει στο μάτι και γνωρίζει χοντρικά τις
συνήθειες του Κώστα. Όπως θα δούμε στο παρακάτω υποθε-
τικό σενάριο, αρκούν τρία τηλεφωνήματα για να πετύχει το
στόχο του.
Αρχικά, ο Γιάννης παίρνει τηλέφωνο στο βιντεοκλάμπ απ’
Ο αμφιλεγόμενος κ.Mitnick
Το 1979, όταν ήταν 16 ετών, έπεσε στα χέρια
του Mitnick ο κωδικός πρόσβασης στο σύστημα
όπου η DEC ανέπτυσσε το λειτουργικό RSTS/E.
O Mitnick δεν έχασε την ευκαιρία και αντέγραψε
το λειτουργικό. Καταδικάστηκε γι’ αυτό το 1988
σε 12 μήνες φυλακή και 3 χρόνια ελεύθερος με
περιοριστικούς όρους. Στις αρχές της δεκαε-
τίας του 1990, παραβίασε τα συστήματα της
εταιρείας τηλεπικοινωνιών Pacific Bell, με απο-
τέλεσμα να εκδοθεί ένταλμα εναντίον του.
Από τότε ξεκίνησε μία εκστρατεία για τη σύλλη-
ψή του, με τα ΜΜΕ και τις Αρχές να τον παρου-
σιάζουν ως τον υπέρτατο hacker, έτοιμο να κα-
ταστρέψει τα πάντα. Συνελήφθη έπειτα από
δυόμισι χρόνια, το 1995, στη Βόρεια Καρολίνα.
Πάνω του βρέθηκαν κινητά τηλέφωνα-κλώνοι,
κωδικοί για κινητά, και ψεύτικες ταυτότητες.
Όπως αποδείχτηκε, είχε «εισβάλει» στο FBI και
στην DEC, αλλά και σε συστήματα της Motorola,
της NEC, της Nokia, της Sun και της Fujitsu. Η
δίκη του έγινε το 1999, έπειτα από τέσσερα
χρόνια προφυλάκιση, και εκεί δήλωσε ένοχος
σε μία σειρά αδικημάτων για να πετύχει συμβι-
βασμό.
Στο μεταξύ όμως, με τη δημοσιότητα που είχε
πάρει η υπόθεσή του, φιλοτεχνήθηκε μία μεγα-
λοποιημένη εικόνα για τον Mitnick, στον οποίο
αποδίδονται πολύ περισσότερα απ’ όσα είχε κά-
νει. Υποτίθεται πως είχε καταφέρει να παραβιά-
σει συστήματα στην Pacific Bell, στο Πεντάγωνο,
στη Novell, σε πανεπιστήμια και σχολικές περι-
φέρειες, υπόκλεπτε e-mails, έκανε δωρεάν τη-
λεφωνήματα, αλλά και παρακολουθούσε πρά-
κτορες της NSA. To τι είναι αλήθεια και τι όχι,
δεν θα το μάθουμε ποτέ, αν και ο ίδιος έχει εκ-
δώσει τρία βιβλία όπου εξιστορεί τη δική του εκ-
δοχή. Ο Mitnick αποφυλακίστηκε υπό όρους το
2000,
αφού έκανε οκτώ μήνες σε απόλυτη απο-
μόνωση (σ.σ.: Οι Αρχές πίστευαν όντως ότι
μπορούσε να ξεκινήσει παγκόσμιο πόλεμο με
ένα τηλεφώνημα!). Μέχρι το 2003, του είχαν
επιβληθεί περιοριστικοί όροι: για κάποιο διάστη-
μα του απαγόρευαν να χρησιμοποιεί οτιδήποτε
άλλο εκτός από σταθερό τηλέφωνο. Έκτοτε
βγάζει αρκετά χρήματα ως σύμβουλος ασφάλει-
ας μέσω της εταιρείας που έχει φτιάξει, αλλά
και από τα τρία βιβλία που έχει εκδώσει – δείτε
τα [3], [4], [5]. Η πραγματική ιστορία του έγινε
ντοκιμαντέρ το 2001 με τίτλο «Freedom
Downtime» [6] από το ιστορικό περιοδικό
«2600»,
το οποίο είχε ξεκινήσει την καμπάνια
«
Free Kevin». Στο [7] μπορείτε να δείτε μία συ-
νέντευξή του Mitnick στο «2600», λίγο καιρό
μετά την οριστική απελευθέρωσή του, το 2003.
Ένας ικανός κοινωνικός μηχανικός μπορεί να
αποσπάσει πληροφορίες που όχι μόνο δεν
βάζουν σε υποψία το θύμα, αλλά μπορεί να του
δημιουργήσουν την ψευδαίσθηση πως κάνει
κάτι πολύ σημαντικό ή ακόμη και πως βοηθά
έναν απελπισμένο συνάδελφο του.
Αυτοκόλλητο για την υποστήριξη του
Kevin Mitnick που διένειμε το περιοδικό
«2600».