(Συνάντησα τον Κέβιν Μίτνικ στο St. George Lycabettus και είχαμε μια συζήτηση μακροσκελέστατη. Μου είπε πολύ περισσότερε από όσα χρειαζόμουν για το άρθρο που τελικά εμφανίστηκε στο Esquire με τη μορφή συνέντευξης. Εδώ μάζεψα το επεξεργασμένο υλικό της απομαγνητοφώνησης, που έχει και πολλά ενδιαφέροντα στοιχεία που δεν χώρεσαν στο άρθρο του Esquire).
“Άνθρωποι σαν εμένα είναι αυτό που λέμε «ηθικοί χάκερ», προσλαμβάνονται από μία εταιρία για να μπουν στα συστήματά της, δείχνοντας έτσι τα σημεία όπου αυτά είναι ευάλωτα. Έχω και τέτοιες ιστορίες στο επόμενο βιβλίο μου «The Art of Intrusion». Οι άνθρωποι αυτοί μπορούν να μιλήσουν γι’ αυτή τους τη δράση, φτάνει να μην αποκαλύπτουν την ταυτότητα της εταιρίας. Μία από τις άλλες ιστορίες, που αφορούν τους παράνομους χάκερς, αφορά σε έναν ελληνοαμερικανό στο Σιάτλ, τον Κώστα Κατσανιώτη, που μαζί με ένα φίλο του μπήκαν στην Boeing. Αυτοί καταδικάστηκαν. Μας είπαν πράγματα που η αστυνομία δεν έμαθε ποτέ, και οι μέθοδοι που χρησιμοποίησαν μπορούν να αποτελέσουν οδηγό για τις εταιρίες που θέλουν να προστατεύσουν τα δεδομένα τους.
Σε δύο χρόνια θα εκδώσω την αυτοβιογραφία μου. Θα αρχίσω να δουλεύω από τώρα, και θα διαπραγματευτώ με τον εκδότη μου όταν περάσει η ημερομηνία που θα μου επιτρέπεται να εκδώσω την ιστορία μου για κέρδος. Η ημερομηνία αυτή είναι η 21η Ιανουαρίου 2007. Δεν είναι και πολύ μακριά. Η συμφωνία ήταν αρκετά παράδοξη –με υποχρέωσαν να υπογράψω ότι δεν θα επωφεληθώ οικονομικά από την ιστορία για επτά χρόνια. Ήθελαν να το κάνουν ισόβια, αλλά το διαπραγματεύτηκα στα 7 χρόνια. Η κυβέρνηση υπερέβαλλε στις διώξεις εναντίον μου. Ουσιαστικά με κατηγόρησε για πράγματα που δεν έκανα. Υπάρχει νόμος που λέει ότι αν κάνεις έγκλημα βίας ή κατασκοπεία, δεν έχεις το δικαίωμα να επωφεληθείς οικονομικα εκ των υστέρων από αυτό. Τα εγκλήματα υπολογιστών δεν εμπίπτουν, φυσικά. Με ανάγκασαν να υπογράψω αυτή τη συμφωνία για να με αφήσουν να βγω από τη φυλακή.
Την πρώτη φορά που συνελήφθην πολιτειακά ήταν το 1988 και η κυβέρνηση είπε στο δικαστή ότι όχι απλά πρέπει να με κρατήσουν, αλλά και να σιγουρέψουν το ότι δεν θα είχα πρόσβαση σε τηλέφωνα, γιατί θα μπορούσα να ξεκινήσω πυρηνικό πόλεμο σφυρίζοντας κάποιους κωδικούς στο ακουστικό. Ο δικαστής το πίστεψε και έτσι με κράτησαν σε απομόνωση για 8,5 μήνες. Είπαν στο δικηγόρο μου ότι αν δήλωνα ένοχος σε κάποια εγκλήματα, θα με έβγαζαν από την απομόνωση και θα ήμουν ελεύθερος σε 4 μήνες. Αν δεν υπέγραφα θα με κρατούσαν στην απομόνωση μέχρι τη δίκη (μέχρι και 6 μήνες αργότερα), και μετά την καταδίκη μου θα παρέμενα στην απομόνωση. Υπέγραψα. Ποιος δεν θα υπέγραφε;
Το 1990 -91 δούλευα στη βιομηχανία υπολογιστών, αλλά δεν έκανα καθόλου χάκινγκ. Στα τέλη του ’91 το FBI έβαλε έναν πράκτορα να με προσελκύσει ξανά δείχνοντάς μου ωραία καινούρια κόλπα. Εγώ έχω ένα πάθος με την τεχνολογία, και με ενδιέφεραν πολύ αυτά που μου έδειχνε, και έπεσα στην παγίδα. Είναι δικό μου το λάθος, φυσικά. Ήταν σαν να σου φέρνει η κυβέρνηση αλκοόλ και να είσαι αλκοολικός. Ήθελαν να μπλέξω πάλι.
Όταν έμαθα τι έγινε ξέφυγα, έγινα φυγάς. Άλλαξα ονόματα –ένα από τα οποία ήταν το Έρικ Γουάις, το αληθινό όνομα του Χάρι Χουντίνι. Αλλά έκανα κανονικές δουλειές –δεν έκλεβα για να συντηρήσω τον εαυτό μου. Ταυτόχρονα βαριόμουν και ένιωθα μοναξιά. Και το χόμπι μου ήταν να μπαίνω σε εταιρίες μόνο και μόνο επειδή ήταν δύσκολο, και αυτό μου δημιούργησε ακόμα περισσότερα προβλήματα. Οι περισσότερες κατηγορίες που παρουσιάστηκαν εναντίον μου αφορούσαν την εποχή που ήμουν φυγάς.
Έφυγα γιατί φοβήθηκα τι θα μπορούσε να μου κάνει η κυβέρνηση, βασισμένος σ’ αυτά που έκαναν την πρώτη φορά, που με είχαν τόσο καιρό στην απομόνωση. Τελικά με έπιασαν το 1995. Δεν λέω ότι δεν έπρεπε να τιμωρηθώ –λέω ότι στην περίπτωσή μου ξέφυγαν πάρα πολύ από τα εσκαμμένα, και έκαναν τα αδύνατα δυνατά για να τιμωρηθώ όσο πιο σκληρά γινόταν. Το σημαντικό της υπόθεσης ήταν ότι είχα μπει σε συστήματα εταιριών που έφτιαχναν λειτουργικά συστήματα και κινητά τηλέφωνα. Ο λόγος που το έκανα ήταν το ότι ήθελα να γίνω ο καλύτερος στο να σπάω συστήματα ασφαλείας. Μου άρεσε η δοκιμασία. Κι αν είχα τον πηγαίο κώδικα, θα μπορούσα να βρω περισσότερα ευάλωτα σημεία των συστημάτων, ακόμα και σημεία που οι εταιρίες γνώριζαν ότι υπάρχουν, και δεν το είχαν πει στον κόσμο. Είναι κάτι αντίστοιχο με αυτό που κάνουν όσοι κατεβάζουν μουσική και ταινίες από το Ίντερνετ, με μία διαφορά. Εγώ πήρα κάτι που δεν το έβγαζαν στην αγορά –ήταν σαν να έχω κλέψει ένα τραγούδι που ο Έμινεμ θα έβγαζε στο επόμενο άλμπουμ του και που κανείς δεν είχε ακούσει, και το άκουγα μόνος μου στο σπίτι μου, χωρίς να το δώσω σε κανέναν ή τα αποκομίσω κάποιο κέρδος.
Ένας δημοσιογράφος των NewYorkTimes, oMarkoff, ευθύνεται για όλη τη φήμη που απέκτησα. Έγραψε ένα λιβελογράφημα που εμφανίστηκε στην πρώτη σελίδα της εφημερίδας που έλεγε ότι μπήκα στο Norad και στο FBI, ότι έκλεψα αριθμούς πιστωτικών καρτών, ένα σωρό πράγματα τα οποία ούτε έκανα, και για τα οποία ούτε κατηγορήθηκα ποτέ. Αυτός ο μύθος αναπτύχθηκε μόνο και μόνο για να διαφημίσει το βιβλίο που ήθελε να γράψει για μένα. Με παρουσίασε σαν τον Οσάμα Μπιν Μίτνικ του Ίντερνετ.
Πέρασα 4,5 χρόνια στη φυλακή χωρίς να γίνει δίκη και χωρίς να γίνει ακρόαση για εγγύηση. Όλοι δικαιούνται τέτοια ακρόαση. Η δικαιολογία για την καθυστέρηση ήταν ότι υποστήριζαν πως δεν μπορούσαν να δώσουν όλα τα στοιχεία στο δικηγόρο μου, γιατί μέρος από αυτά ήταν κρυπτογραφημένα, και έλεγαν ότι μπορεί να είναι κρατικά μυστικά ή οτιδήποτε, και χρειαζόταν χρόνος να τα αποκρυπτογραφήσουν. Όλα αυτά ήταν ανοησίες, φυσικά. Αλλά έτσι εγώ δεν μπορούσα να πάω σε γρήγορη δίκη, στους έξι μήνες, γιατί δεν είχαμε τα στοιχεία. Έτσι έμεινα 4,5 χρόνια στη φυλακή. Σε άλλη χώρα, στην Ολλανδία ας πούμε, θα έμενα στη φυλακή 30 μέρες γι’ αυτά που είχα κάνει. Στις ΗΠΑ όμως το Υπουργείο Δικαιοσύνης με χαρακτήρισε Ηλεκτρονικό Τρομοκράτη. Παρ’ όλο που ποτέ δεν έκανα κακό σε κανένα. Πήρα πληροφορίες από εταιρίες, όχι από την κυβέρνηση, επειδή αυτό ήταν το χόμπι μου.
Κι αυτή είναι η περίληψη της υπόθεσής μου.
Η φυλακή ήταν βαρετή. Αλλά πέρασα όλο μου το χρόνο μελετώντας τα νομικά δεδομένα, γιατί ο δικηγόρος μου ήταν διορισμένος από το δικαστήριο, και είχε 60 υποθέσεις, και δεν είχα λεφτά να πληρώσω άλλον. Οπότε έγινα εξπέρ στα νομικά θέματα, και περνούσα το χρόνο μου διαβάζοντας, μιλώντας στο τηλέφωνο, και απαντώντας στα γράμματα του κόσμου.
Ο τύπος του FBI που με έπιασε; Ήξερα το ψευδώνυμό του, και υποψιαζόμουν ότι ήταν πράκτορας, και τελικά κατέληξα ότι θα μπορούσε να είναι στην πραγματικότητα ένας από τρεις. Έπρεπε όμως να επιβεβαιώσω ποια είναι η αληθινή του ταυτότητα. Οπότε τηλεφώνησα την Υπηρεσία Οχημάτων, που έχει αρχεία για όλους τους ιδιοκτήτες αυτοκινήτων, και τους ξεγέλασα για να μου στείλουν τα αληθινά του στοιχεία στο φαξ ενός φωτοτυπάδικου στο Λος Άντζελες για να δω τη φωτογραφία του. Χρησιμοποιούσα τις δικές τους υπηρεσίες για να πάρω πληροφορίες γι’ αυτούς. Παραλίγο να με πιάσουν –αλλά τελικά η πολιτεία της Καλιφόρνια με κατηγόρησε για ηλεκτρονική απάτη, παρ’ όλο που δεν είχα χρησιμοποιήσει καθόλου υπολογιστή στη συγκεκριμένη υπόθεση. Ότι και να κάνω, ακόμα κι αν έπαιρνα δύο εφημερίδες από το μηχάνημα αυτόματης πώλησης αντί για μία, θα με κατηγορούσαν για χάκερ. Τελικά αθωώθηκα.
Έκανα πολλά σημαντικά λάθη στη ζωή μου. Αν μπορούσα να γυρίσω πίσω, θα άλλαζα πολλά πράγματα. Δεν μπορείς να αλλάξεις το παρελθόν, αλλά τουλάχιστον κατάφερα να αλλάξω τη ζωή μου. Στη φυλακή δεν φανταζόμουν ότι κάποτε θα γινόμουν συγγραφέας, επαγγελματίας, και ότι θα ταξίδευα στον κόσμο για να δίνω ομιλίες. Νιώθω σαν τον Φρανκ Άμπιγκνεϊλ απ’ το Catch Me If you Can, που έκανε τόσες απάτες, και στο τέλος έφτιαξε τη ζωή του.
Τι θα άλλαζα; Δεν θα έκανα χάκινγκ. Όταν ένας χάκερ μπαίνει σε ένα σύστημα, υποθέτει ότι οι υπεύθυνοι θα το ανακαλύψουν και θα ασχοληθούν 10-20 λεπτά με το θέμα. Θα αλλάξουν τους κωδικούς, θα επανεγκαταστήσουν το software, μικροπράγματα. Όμως στην πραγματικότητα δεν γίνεται έτσι. Η εταιρία πανικοβάλεται. Δεν ξέρει ποιος επιτέθηκε, πώς, ή τι έψαχνε, έτσι αρχίζουν να αλλάζουν τα συστήματα, να αλλάζουν τα πάντα, να ελέγχουν την αξιοπιστία κάθε υποσυστήματος. Αν και εγώ δεν είχα πρόθεση να προκαλέσω αναστάτωση ή ζημία, οι εισβολές μου προκάλεσαν ζημιά, γιατί οι εταιρίες ξοδεύουν πολλά εκ των υστέρων, και χάνουν πολλά από την παραγωγικότητα. Χάνουν και σε χρήμα και σε παραγωγικότητα. Αν το ήξερα, δεν θα έμπαινα καθόλου σε τέτοια συστήματα.
Για μένα η ασφάλεια είναι σαν το σκάκι. Και εγώ ήμουν ο Μπόμπι Φίσερ των συστημάτων ασφαλείας.
Τα μίντια, ειδικά στην Αμερική, έχουν δώσει στον όρο χάκερ μια εντελώς αρνητική έννοια. Αν ρωτήσεις έναν αμερικανό στο δρόμο θα σου πει ότι χάκερ είναι αυτός που καταστρέφει τον υπολογιστή μου με έναν ιό ή ένα worm. Ο δικός μου ορισμός είναι ότι χάκερ είναι αυτός που έχει ικανότητες χάκινγκ. Είτε είναι ικανός προγραμματιστής, είτε έχει ταλέντο στο να παρακάμπτει την ασφάλεια, είτε πολύ καλός στο να βρίσκει μεθόδους να παρακάμπτει προβλήματα, ακόμα και να αντιγράφει προγράμματα. Ο Λάινους Τόρβαλντς, που έγραψε τον πυρήνα του Linux, είναι χάκερ. Ο Στιβ Γουόζνιακ, ο ιδρυτής της Apple, είναι χάκερ. Αυτός είναι πολύ καλό παράδειγμα –μαζί με τον Στιβ Τζομπς στις αρχές της δεκαετίας του ’70 έφτιαχναν τα blue boxes (συσκευές για να κάνεις δωρεάν τηλεφωνήματα) και τα πουλούσαν στο Μπέρκλεϊ. Αυτό είναι χειρότερο από αυτά που έκανα εγώ –εγώ δεν έβγαλα ποτέ λεφτά. Ήταν κυρίως ιδέα του Τζομπς, γιατί ο Γουόζ ήταν πολύ έντιμος για να το σκεφτεί. Με τα λεφτά που έβγαλαν αγόραζαν circuit boards για να φτιάξουν τον Apple Computer. Αυτό σήμερα λέγεται ξέπλυμα χρημάτων. Ο Μπιλ Γκέιτς ήταν χάκερ. Δεν ξέρω αν μπήκε σε συστήματα άλλων, αλλά έκλεψε ιδέες από άλλες εταιρίες, όπως τη Xerox. Όλοι αυτοί, ο Γκέιτς, ο Τζομπς, είναι υποκριτές. Ήταν χάκερς, και όχι με την έννοια που ήμουν εγώ, γιατί εγώ δεν έβγαλα λεφτά. Η κυβέρνηση όμως διαφωνεί. Με λέει «ηλεκτρονικό τρομοκράτη».
Ναι, είμαι χάκερ σήμερα. Είμαι «ηθικός χάκερ». Εταιρίες με προσλαμβάνουν για να βρω ευάλωτα σημεία στα συστήματα ασφαλείας τους, ώστε να μπορούν να τα φτιάξουν. Είναι πολύ πιο δύσκολο τώρα. Ο «ηθικός χάκερ» πρέπει να βρει όλα τα ευάλωτα σημεία. Αντίθετα, ο επιτιθέμενος αρκεί να βρει μόνο ένα.
Ξεκίνησα εξαιτίας του ενδιαφέροντος που μου προκαλούσε το τηλεφωνικό δίκτυο. Έψαχνα τρόπους να το πειράζω για πλάκα. Τότε μας έλεγαν phone phreakers. Έπαιρνα τηλέφωνο διάφορα τμήματα της τηλεφωνικής εταιρίας και έκανα ότι ήμουν υπάλληλος, και προσπαθούσα να τους κάνω να μου αποκαλύψουν πληροφορίες χωρίς να το καταλάβουν. Για να είσαι πετυχημένος έπρεπε να έχεις καλό λέγειν, να έχεις μάθει την ορολογία, να βρίσκεις διάφορες παράλληλες λεπτομέρειες, και γενικά να πείθεις ότι είσαι συνάδελφος. Αυτό που λέμε social engineering.
Σήμερα social engineering είναι το να χρησιμοποιείς τέτοιου είδους τακτικές για να αναγκάσεις έναν άνθρωπο που έχει κάποιες εμπιστευτικές πληροφορίες ή κάποια σημαντική θέση να σου δώσει πληροφορίες ή να κάνει κάτι που εξυπηρετεί τους σκοπούς σου, χωρίς να το καταλάβει.
Σύμφωνα με μια έρευνα της Gartner, το social engineering είναι ο μεγαλύτερος κίνδυνος στην ασφάλεια των υπολογιστικών συστημάτων. Καμία τεχνολογία δεν μπορεί να σε προφυλάξει από αυτό.
Έστω ότι είσαι τεχνικός, και ξέρεις τα βασικά, να μην δίνεις τα passwords σου, να μην δίνεις πληροφορίες, αλλά ξαφνικά δέχεσαι ένα πακέτο που φαίνεται ότι είναι από τη Microsoft με ένα καινούριο update για τα Windows. Ανοίγεις το πακέτο και το CD μοιάζει αυθεντικό –κανένας δεν κοιτάει ποτέ το ολόγραμμα, εδώ που τα λέμε- και το τρέχεις, και πράγματι σου αναβαθμίζει το σύστημα, αλλά ταυτόχρονα και χωρίς να το πάρεις χαμπάρι ανοίγει και ένα Trojan, που δίνει πρόσβαση στους κακούς.
Ένα άλλο παράδειγμα: Πηγαίνεις στα γραφεία της Τράπεζας της Ελλάδος. Παίρνεις δέκα άδεια CD με κόκκινες φανταχτερές θήκες. Παίρνεις το logo της τράπεζας –πιθανότατα το έχουν στο website- και το τυπώνεις σε ένα αυτοκόλλητο που γράφει «Μισθοδοσία Υπαλλήλων Β’ Τρίμηνο 2004». Κολλάς το αυτοκόλλητο στη θήκη του CD και τα αφήνεις στο ασανσέρ, στο μπάνιο, στους δημόσιους χώρους. Σίγουρα κάποιος θα βρει το CD, θα το πάρει στο γραφείο του, και θα το ανοίξει, για να δει τι μισθούς παίρνουν οι συνάδελφοί του. Θα προσπαθήσει λοιπόν να ανοίξει το αρχείο του Excel, θα του βγει ένα μήνυμα λάθους, ότι δεν ανοίγει, αλλά αυτό που έγινε πραγματικά είναι ότι ένα κομμάτι κώδικα άνοιξε και έτρεξε στον υπολογιστή του, και τώρα ο επιτιθέμενος μπορεί να μπει στο δίκτυο. Και ο υπάλληλος δεν έχει καταλάβει τίποτα.
Όταν χρησιμοποιούσα το ίντερνετ υπήρχαν μόνο δύο browsers: Το Lynx και το Mosaic 1.1. Το μόνο πράγμα που μπορούσες να κάνεις ήταν να πας στο JPL και να δεις φωτογραφίες των πλανητών. Τότε το χρησιμοποιούσαν μόνο για έρευνα και για email. Δεν υπήρχαν εταιρίες που να ασχολούνται, δεν υπήρχε αγορά. Όταν βγήκα από τη φυλακή, υπήρχε το Amazon, το Google, το eBay. Από την πλευρά της ασφάλειας, τα πράγματα τώρα είναι καλύτερα και χειρότερα. Το 1995 δεν υπήρχε σχεδόν καθόλου ασφάλεια –τα συστήματα ήταν αρκετά ευάλωτα. Δεν υπήρχαν όμως διαδεδομένα εργαλεία –έπρεπε να μπορείς να γράψεις τα δικά σου προγράμματα για να κάνεις τις επιθέσεις. Σήμερα αυτό έχει αντιστραφεί. Είναι πιο δύσκολο να μπεις, γιατί υπάρχει αρκετή ασφάλεια. Υπάρχουν όμως τόσα πολλά εργαλεία εκεί έξω, που δεν χρειάζεται καν να ξέρεις προγραμματισμό.
Η Τζένιφερ Γκάρνερ; Πολύ όμορφη! Ο Τζ. Τζ. Έιμπραμς, ο δημιουργός του Alias, ήταν θαυμαστής μου και μου ζήτησε να παίξω ένα μικρό ρόλο, ως πράκτορας της CIA. Έτσι έγινα πράκτορας της CIA, ένας χάκερ που προσπαθούσε να μπει στα αρχεία της ST6, της σατανικής οργάνωσης.
Είχα πέντε ατάκες, αλλά χρησιμοποίησαν μόνο τις τρεις. Είχα πολλή νευρικότητα, και ήταν πολύ διαφορετικό από ότι περίμενα. Ήταν όλα πολύ γρήγορα. Θυμάμαι ακόμα μια: “We had Calvin give Sloan access to a bogus website with enough real information about the vaccine to keep them occupied for months”.
Θα ήθελα περισσότερους πελάτες στην Ευρώπη. Μου αρέσει εδώ. Ο πρώτος, μια εταιρία στην Αγγλία, έφτιαξε μια USB συσκευή που υποτίθεται ότι κρυπτογραφεί το σκληρό δίσκο όσο είναι συνδεδεμένη στον υπολογιστή, και έτσι κανείς δεν μπορεί να δει τα αρχεία.
Μου πήρε δώδεκα ώρες να τη σπάσω. Δυστυχώς δεν το διόρθωσαν ποτέ και δεν μπόρεσαν να βγουν στην αγορά.
Εδώ, στο ξενοδοχείο που καθόμαστε, δίνουν κάτι κωδικούς για να μπορείς να χρησιμοποιείς το ασύρματο Ίντερνετ, και στο γραφείο που πήγα η κυρία μου έδωσε τον κωδικό μου από μία λίστα. Είχε ανοιχτό τον κατάλογο μπροστά μου, με όλους τους κωδικούς, και μου σημείωσε έναν. Το μόνο που θα χρειαζόταν να κάνει κάποιος ήταν να πάρει τη σελίδα μια φωτογραφία με το κινητό του. Η υπάλληλος δεν θα το καταλάβαινε ποτέ. Είναι μια σοβαρή παράλειψη, και μπήκα στον πειρασμό να τους την επισημάνω, αλλά δεν το έκανα. Μερικές φορές οι άνθρωποι προσβάλλονται όταν τους δείχνεις τα λάθη τους”.