Historia Kevina Mitnicka: najsłynniejszego hakera na świecie

Autor: Anry Sergeev | 10.04.2025, 09:00
Historia Kevina Mitnicka: najsłynniejszego hakera na świecie

"Dzień dobry panu. Czy mógłby mi pan powiedzieć, gdzie mogę kupić taki kompostownik? Potrzebuję takiego do projektu szkolnego" - głos dwunastolatka był bardzo pewny siebie, więc kierowca autobusu miejskiego w Los Angeles nie miał pojęcia, co chłopak kombinuje. W rzeczywistości jego plan był zgodny z jego głównymi cechami - ciekawością i nienaganną pamięcią, która pozwalała mu zapamiętać wszystkie kombinacje perforacji na biletach autobusowych do przesiadek. A potrzebował tego narzędzia, by już nigdy nie musieć płacić za autobusy. I poruszać się po Los Angeles za darmo. Facet nazywał się Kevin Mitnick. I to, jak wspominał w swojej autobiografii, był pierwszy raz w jego życiu, kiedy włamał się do systemu, by uzyskać darmowy dostęp do jego zasobów. Później zdał sobie sprawę, że nazywa się to inżynierią społeczną. Ale my znamy go lepiej jako najbardziej znanego hakera na świecie, który był ścigany przez FBI przez dwa lata.

Szybko do przodu

Kim jest Kevin Mitnick?

Jeśli nadal myślisz o hakerze jako o bladym nastolatku w bluzie z kapturem, chrupiącym chipsy przed monitorem w nocy, to dlatego, że nie czytałeś historii Kevina Davida Mitnicka. Urodził się on 6 sierpnia 1963 roku i zmarł 16 lipca 2023 roku, a w ciągu ostatnich sześciu dekad zdołał stać się cybernetyczną legendą: zarówno na czarnej liście FBI, jak i na listach bestsellerów New York Timesa. Nie każdemu się to udaje.

W latach 90. Mitnick był hakerem, który chodził tam, gdzie go nie zapraszano. Nie dla pieniędzy. Nie dla sławy. Tylko dlatego, że mógł. Jego aresztowanie w 1995 roku było prawdziwą cyber sensacją - nie tyle osoba była sądzona, co zjawisko, którego organy ścigania nawet nie wiedziały, jak prawidłowo zakwalifikować. Został skazany na pięć lat więzienia. I oczywiście było wiele szumu medialnego, książek, filmów i gorących dyskusji na wszystkich możliwych forach (tak, wtedy już istniały).

Ale na tym dramat się nie skończył - po wyjściu z więzienia Kevin przeszedł spektakularną cyberprzemianę: z czarnego kapelusza zła w guru białego kapelusza. Założył Mitnick Security Consulting, doradzał firmom, pisał książki o bezpieczeństwie i zaangażował się w projekt KnowBe4, który uczy ludzi, by nie klikali we wszystko, co miga. Jego autobiografia stała się hitem, i znowu, nie z powodu marketingu, ale z powodu historii, której nie można wymyślić.

Sprawa Mitnicka jest wciąż wspominana na kursach prawa cyfrowego: była to era, w której nikt tak naprawdę nie wiedział, co zrobić z hakerami. Nowe przepisy były dosłownie pisane na bieżąco, a sądy badały, czym różni się "kopiowanie oprogramowania" od kradzieży plików cookie. Ponadto wielu uważało, że jego kara była zbyt surowa, a on sam poniósł bardzo niewielką rzeczywistą szkodę.

Dziś Mitnick to coś więcej niż tylko nazwisko. Jest częścią cyberkultury. Jego historia wciąż rodzi główne pytanie: kim jest haker - przestępcą czy informatorem, który ujawnia dziury w systemie, których nikt inny nie zauważa? Wydaje się, że Kevinowi udało się być jednym i drugim.

Jak Kevin Mitnick zaczął hakować systemy przed Internetem

Kevin David Mitnick urodził się 6 sierpnia 1963 roku w dzielnicy Van Nuys w Los Angeles w Kalifornii. Jego rodzice, Alan Mitnick i Shelly Jaffe, rozwiedli się, gdy był dzieckiem, więc większość dzieciństwa spędził z matką. Jego babcia ze strony matki, Reba Vartanian, również brała udział w jego wychowaniu. Rodzina miała żydowskie korzenie i niezbyt dużo pieniędzy: jego matka pracowała na dwa etaty, a Kevin miał dużo wolnego czasu i jeszcze większą ciekawość otaczającego go świata.


Kevin Mitnick w wieku 3 lat. Ilustracja: mitnicksecurity.com

I to właśnie w tym środowisku - nie na wykładach z bezpieczeństwa komputerowego, ale gdzieś pomiędzy ulicami i przystankami autobusowymi Los Angeles - obudził się haker, którego później szukało FBI. W wieku 12 lat Mitnick wykazywał już zamiłowanie do inżynierii społecznej: wymyślił historię o szkolnym projekcie i zapytał kierowcę autobusu, gdzie można dostać kompostownik biletów. Kupił urządzenie, zdobył partię pustych biletów transferowych ze śmietnika w pobliżu zajezdni autobusowej (kierowcy po prostu wyrzucali niewykorzystane formularze po swoich zmianach) i zaczął podróżować po mieście bez centa. Wszystko było legalne... no, prawie.


Ogólny widok kompostownika biletowego używanego przez Mitnika. Ilustracja: Wikipedia

Nie była to próba zaoszczędzenia pieniędzy, ale pierwszy test systemu, aby sprawdzić, czy można go zhakować. Ciekawość, ekscytacja i zrozumienie, jak obejść zasady - wszystko to stało się nie tylko dziecinną zabawą, ale pierwszą sprawą w przyszłym portfolio najsłynniejszego hakera w Stanach Zjednoczonych. A najciekawsze jest to, że według samego Mitnicka jego rodzice przyjęli tę historię raczej z uśmiechem niż wyrzutem. Nawet kierowcy autobusów, którzy wiedzieli o jego sztuczkach, byli nieco sympatyczni.

W James Monroe High School w North Hills Kevin Mitnick nie bawił się już tylko przyciskami - zaczął oficjalnie traktować swoją obsesję na punkcie technologii. Otrzymał amatorską licencję radiową, najpierw ze znakiem wywoławczym WA6VPS, a po więzieniu odnowił ją jako N6NHG - jak prawdziwy operator ze starej szkoły. W tym samym czasie przyjął pseudonim Condor, zainspirowany thrillerem szpiegowskim Trzydni Kondora. Oczywiście film o spiskach, rządzie i zmienionych nazwiskach - idealny dla początkującego hakera.

Jego dziecięca pasja do radia przerodziła się w prawdziwe uzależnienie od systemów komunikacyjnych.

Na swojej stacji radiowej słuchał nie muzyki, ale... lokalnej policji.

Łapał transmisje, badał częstotliwości, sprawdzał, jak działa komunikacja, kto może co usłyszeć i jak upewnić się, że słyszy więcej niż jest to dozwolone. Jego licencja FCC potwierdziła, że wiedział, co robi. Ale najciekawsza część jego życia rozpoczęła się, gdy zajął się phreakingiem telefonicznym, sztuką włamywania się do systemów telefonicznych na długo przed iPhone'em. W tym czasie głównym narzędziem maniaków telefonicznych był tak zwany Blue Box, elektroniczne urządzenie wytwarzające tony używane do generowania tonów sygnalizacyjnych w paśmie, które wcześniej były używane w międzymiastowej sieci telefonicznej. Urządzenie to umożliwiało bezpłatne wykonywanie połączeń międzymiastowych.


Blue Box, zaprojektowany i stworzony przez Steve'a Wozniaka (współzałożyciela Apple). Na wystawie w Powerhouse Museum. Ilustracja: Вікіпедія

Przyjaciel pokazał Kevinowi, że w sieci telefonicznej istniały ukryte numery testowe, które umożliwiały mu wykonywanie darmowych połączeń międzymiastowych. I tutaj rozpoznał starą znajomą logikę, taką samą jak w przypadku biletów autobusowych: istnieje system, istnieją zasady, ale jeśli wiesz trochę o tym, jak rzeczy działają, możesz grać inaczej.

Mitnick opisał freakin' jako "sport ekstremalny". Nie gorszy niż wspinaczka na Mount Everest - tylko nie z linami, a z fajką w ręku. Miał 17 lat i już nauczył się udawać pracownika firmy telefonicznej, wymyślając nazwisko "Jake Roberts" z jakiegoś "niepublicznego biura" i dzwoniąc do biur podszywając się pod jednego ze swoich. Mówił technicznie, pewnie, żargonem. Domyślał się wszystkiego - od procedur po ludzką naiwność.

To były narodziny nie tylko hakera, ale mistrza inżynierii społecznej.

Jego metody - pretekstowość, czyli wymyślanie legendy, przekonująca manipulacja i nieustraszona improwizacja - stały się podstawą tego, z czego zasłynął później w cyfrowym świecie. Co najważniejsze, nie interesowały go wtedy pieniądze. Kierowało nim intelektualne wyzwanie, czysty dreszczyk emocji związany z hakowaniem systemu, który miał być nie do złamania.

Pierwsze duże włamania i pierwsza zdrada

W 1979 roku, gdy Kevin Mitnick miał zaledwie 16 lat, otrzymał swoją pierwszą poważną "misję bojową" od innych hakerów - włamanie się do systemu o nazwie"The Ark", należącego do Digital Equipment Corporation (DEC). Nie był to zwykły serwer - służył do testowania systemu operacyjnego RSTS/E, jednego z kluczowych systemów mainframe na świecie w tamtym czasie. Dla ludzi, którzy żyli z hakowania, było to jak dostanie się do czarnej skrzynki NASA.

System był odpowiedzialny za wykonywanie pewnych funkcji administracyjnych. Kevin uzyskał do niego dostęp poprzez numer telefonu The Ark, który dał mu jeden z jego nowych przyjaciół. Było to połączenie dial-up z komputerem DEC - sam numer niewiele dawał, bo bez loginu i hasła można było jedynie słuchać dźwięków modemu. Ale bariery techniczne nie są problemem Kevina. Włącza swoją charakterystyczną socjotechnikę: dzwoni do administratora DEC, udaje Antona Chernoffa, prawdziwego dewelopera firmy, i narzeka: "ups, zapomniałem dostępu". Wszystko jest spokojne, pewne siebie, z naciskiem na autorytet. Rezultat? Administrator tworzy dla niego nowe konto i używa nawet hasła podanego przez Mitnika. Bez sprawdzania. Żadnych pytań.

Mitnik loguje się. Ale nie loguje się sam - dzieli dostęp ze swoją grupą. I wtedy pukają ci sami ludzie, którzy podżegali do włamania. Jeden z nich zgłasza Kevina do ochrony DEC, podaje mu swoje nazwisko i wszystko wyjaśnia.

DEC początkowo "pomalował" szkody na 4 miliony dolarów, ale prokurator federalny James Sanders przyznał później, że rzeczywisty koszt naprawienia włamania wyniósł około 160 000 dolarów.

Był to moment przejściowy. Mitnick hakował linie telefoniczne, ale teraz włamywał się do pełnoprawnych systemów komputerowych. I robił to nie z powodu błędów lub luk niewykrytych przez systemy bezpieczeństwa, ale z powodu ludzkiej naiwności. Zamiast włamania technicznego był to atak psychologiczny.

Inżynieria społeczna stała się jego główną bronią.

Była to też jego pierwsza zdrada w środowisku, które zdawało się żyć według kodeksu "nie zdradza się swoich". Okazało się, że nawet w świecie hakerów są tacy, którzy dobiją targu, gdy tylko wyczują, że coś się smaży. A status w subkulturze jest tak płynny jak adres IP w połączeniu dial-up.

Aresztowanie i oficjalny status "uzależnionego od komputera"

W 1981 roku, gdy Kevin Mitnick miał zaledwie 17 lat, wraz z przyjacielem postanowił pobawić się nie jakąś szkolną siecią, ale Pacific Bell, jednym z gigantów amerykańskiego rynku telekomunikacyjnego. Celem był COSMOS, system zarządzania główną infrastrukturą linii telefonicznych. Kiedy udało im się włamać, Mitnick nie tylko wydawał polecenia - przekierowywał linie, podsłuchiwał rozmowy, zakłócał trasy i siał spustoszenie. Ludzie myśleli, że operatorzy bawią się lub kpią. Ale to był tylko Kevin, który badał świat sieci metodą "co by było, gdyby...".

Nie poprzestał na tym. Mając dostęp do bazy danych COSMOS, Mitnik ukradł hasła, konta, kombinacje bramek, dokumentację techniczną, a nawet kompletną instrukcję obsługi systemu - coś, za co dzisiejsi hakerzy sprzedają swoje cyber-dusze w darknecie. Oczywiście wykorzystywał to nie tylko "dla nauki", ale także dla własnych korzyści: przekierowywał linie telefoniczne według własnego uznania.

Nie było to zwykłe hakowanie - była to pełnoprawna ingerencja w pracę operatora telekomunikacyjnego na poziomie jądra.

I to właśnie ten żart doprowadził do jego aresztowania. Po raz pierwszy Mitnik został złapany nie za uszy, ale za płeć i spędził rok w ośrodku resocjalizacyjnym. Nie było to więzienie, ale nie była to już tylko "rozmowa z rodzicami". Mitnik nie bał się - po prostu przeszedł na nowy poziom i poszedł dalej. Miał już za sobą inne "szkolenia": włamywanie się do szkolnego systemu komputerowego, wyszukiwanie tajnych numerów celebrytów. Ale prawdziwy "level-up" miał miejsce w 1983 roku, kiedy podczas studiów na Uniwersytecie Południowej Karoliny zalogował się do ARPANET, sieci, która później stała się podstawą Internetu. Komputer należał oczywiście do nikogo innego jak do Pentagonu. Tak, faktycznie udał się do komputera Departamentu Obrony USA, aby "spędzić czas".

To było poważniejsze przestępstwo: 6 miesięcy w zakładzie poprawczym dla nieletnich. I chociaż nie było nic złego w sabotażu, system państwowy w końcu zdał sobie sprawę, że wymówka "hakerzy to tylko bawiący się nastolatkowie" już nie działa. Ponieważ ci "nastolatkowie" zapuszczali się tam, gdzie nawet dorośli z dostępem nie powinni się zapuszczać.

Jeszcze poważniej zrobiło się później, gdy doszło do włamania do DEC.

W tamtych latach wymiar sprawiedliwości dopiero uczył się radzić sobie z hakerami, więc proces był powolny, ale bolesny.

Mitnick poszedł na ugodę ze śledczymi, przyznał się do winy i otrzymał 12 miesięcy więzienia oraz 3 lata nadzorowanego zwolnienia. To rodzaj cyfrowego aresztu domowego: jesteś wolny, ale twój komputer jest pod kontrolą, twoja aktywność jest ograniczona i jesteś obserwowany.

Podczas przesłuchania sędzia federalny powiedział nawet, że Mitnick był"uzależniony od włamań komputerowych" - tak jakby nie było to hobby, ale poważna diagnoza kliniczna. Zamiast "uzależniony od seriali telewizyjnych" powiedział więc "uzależniony od hakerów".

Sprawa ta stała się oficjalnym punktem wejścia Mitnicka do prawnej historii amerykańskiej cyberprzestępczości. Jego nadzorowane zwolnienie miało zakończyć się w 1992 roku i był to być może pierwszy raz, kiedy system sądowniczy próbował stworzyć ramy zachowania dla osoby, która nie kradnie pieniędzy ani nie sprzedaje danych, ale wchodzi do miejsc, do których nie jest zaproszona. I czerpie z tego przyjemność.

Opóźnienie między przestępstwem a karą pokazało najważniejsze: w latach 80. system prawny był lata świetlne za hakerami, ale już zaczynał nadrabiać zaległości.

2,5 roku ucieczki przed FBI

W 1992 roku Kevin Mitnick powinien był się już "uspokoić": odsiedział swój wyrok, trzy lata pod nadzorem - to było zakończenie historii. Ale książki nie były jego gatunkiem. Zamiast grzecznie zakończyć okres nadzoru, ponownie włamał się do systemów Pacific Bell, tym razem w celu sprawdzenia , jak go monitorują. Innymi słowy, włamał się do systemu, aby dowiedzieć się, czy jest monitorowany, ponieważ nie miał prawa się do niego włamywać. To logika hakerska, a nie prawna. I to właśnie ta logika doprowadziła do wydania nakazu aresztowania Mitnika w 1993 roku.

Mitnik postanawia jednak nie grać zgodnie z zasadami. Znika z radaru, a jego następne dwa i pół roku zamieniają się w cyberpunkowy hit czasu rzeczywistego. Pseudonimy, sfałszowane dokumenty, skradzione i fałszywe numery telefonów, sklonowane telefony komórkowe, które uniemożliwiają jego zlokalizowanie. Pracuje pod fałszywymi nazwiskami - jako administrator systemów w firmie prawniczej w Denver, jako pracownik IT w szpitalu w Seattle pod nazwiskiem Brian Merril - kontynuując to, co robi najlepiej: hakowanie systemów.


Według Mitnicka bardzo pomogło mu to, że władze USA użyły bardzo złego zdjęcia, które utrudniało rozpoznanie go w prawdziwym życiu

Podczas gdy władze ścigały jego cień, Kevin zdołał włamać się do dziesiątek sieci komputerowych. Jego cele obejmowały firmy telekomunikacyjne, dostawców Internetu, producentów systemów operacyjnych i gigantów telefonii komórkowej. Lista tych, których dotknął, obejmuje: Motorola, Nokia, Novell, Sun Microsystems, a nawet Kalifornijski Departament Pojazdów Samochodowych. Czytał e-maile innych osób, wydobywał hasła, zmieniał ustawienia sieciowe i - według amerykańskiego Departamentu Sprawiedliwości - ukradł oprogramowanie warte miliony dolarów. Obejmowało to kod źródłowy MicroTAC Ultra Lite, najlepszego telefonu komórkowego Motoroli w 1991 roku.

Warto wspomnieć, że Mitnick ingerował nawet w działanie przełączników w Nowym Jorku i Kalifornii, czyli dosłownie kontrolował ruch telefoniczny megamiast na odległość. A wszystko to nie dla pieniędzy, ale po to, by udowodnić, że system to tylko zestaw luk, a jeśli zobaczysz je wszystkie, jesteś królem.

Jego życie w ucieczce nie jest ucieczką. To demonstracja. Demonstracja tego, jak daleko może posunąć się osoba, która nie tylko wie, jak działa system, ale nie wierzy w jego autorytet. W kręgach hakerów staje się nie tylko "profesjonalistą", ale legendą, która łamie wszystko, od kodeksu praw po kod oprogramowania układowego.

Koniec gry: jak Kevin Mitnick został złapany o 1:30 w nocy przy użyciu wieży komórkowej

W lutym 1995 r. FBI zdecydowało, że ten facet jest skończony. Rozpoczęła się zakrojona na szeroką skalę dwutygodniowa bitwa cybernetyczna, która zakończyła się o 1:30 15 lutego w Raleigh w Karolinie Północnej. Mitnick miał wtedy 31 lat.

Kevin Mitnick został "ujawniony" nie przez policję, nie przez agenta filmowego, ale przez innego hakera - jednego z najpotężniejszych techników lat 90: Tsutomu Shimomurę, badacza z Centrum Superkomputerowego w San Diego, który był zaledwie rok młodszy od Mitnicka. Mitnick, w stylu klasycznego cyber-ego, włamał się do jego komputera... dokładnie w Boże Narodzenie. Shimomura nie wybaczył mu tego i osobiście wziął udział w polowaniu. Namierzył sygnał telefonu Mitnicka przez wieżę komórkową i przekazał współrzędne do FBI.

Dla tych, którzy chcą wiedzieć więcej: walka między Mitnickiem i Shimomurą

Tsutomu Shimomura

W Boże Narodzenie 1994 r. Kevin Mitnick włamał się do sieci domowej Tsutomu Shimomury, znanego eksperta ds. bezpieczeństwa komputerowego. Wykorzystał wyrafinowaną technikę spoofingu IP połączoną z przewidywaniem sekwencji TCP, technikę, która w tamtym czasie ledwo wyszła z laboratoriów. Polega to na tym, że haker ukrywa swój adres, aby wyglądało na to, że dostęp do systemu uzyskuje ktoś, komu ufa. Następnie, nie widząc odpowiedzi systemu, haker odgaduje "tajny kod" (liczbę w wiadomościach wysyłanych przez system w odpowiedzi). To tak, jakby włamać się do sejfu, wybierając odpowiednią kombinację bez słyszenia kliknięcia zamka.

Celem włamania były prawdopodobnie badania i narzędzia Shimomury do pracy z zabezpieczeniami sieci komórkowych. Fakt, że Mitnick wybrał Shimomurę do ataku, nie był przypadkiem, ale celową próbą uzyskania bardzo konkretnych informacji.

Wkrótce po incydencie automatyczna sekretarka Shimomury zaczęła otrzymywać dziwne wiadomości (ich archiwum jest dostępne na stronie książki Shimomury) z pseudo-azjatyckim akcentem i frazami takimi jak "Moje kung fu jest lepsze od twojego". Groźby te natychmiast powiązano z Mitnikiem, czyniąc z niego nie tylko hakera, ale i zuchwałego trolla. Później okazało się jednak, że telefony były dziełem zewnętrznego żartownisia, 31-letniego Zeke Shifa, fana filmów kung fu, który nie miał nic wspólnego z włamaniem. Jednak do tego momentu mediom udało się już uczynić te obraźliwe zwroty częścią mitu Mitnicka.

Shimomura potraktował atak jako osobistą zniewagę i wyruszył na polowanie. Wdrożył system monitorowania ruchu internetowego w usługach, w które zaangażowany był haker, takich jak The WELL i Netcom. Korzystając z własnych narzędzi, analizy logów i współpracy z operatorem telekomunikacyjnym Sprint, odkrył, że Mitnick korzystał z modemu mobilnego i wskazał dokładny region jego aktywności - miasto Raleigh w Karolinie Północnej. Tam, wraz z FBI, Shimomura przeprowadził ostateczną obławę - wykorzystując skanery częstotliwości radiowych do zlokalizowania konkretnego mieszkania w wieżowcu.

W nocy 15 lutego 1995 r. FBI, z pomocą Shimomury, przeszukało mieszkanie 202, w którym przebywał Mitnick.

Kiedy agenci weszli do mieszkania, znaleźli wszystko, czego potrzebowałby uciekający haker: sklonowane telefony komórkowe, ponad 100 kodów do fałszywych numerów, fałszywe dokumenty, fałszywe nazwiska i - jak później powiedział sam Mitnick - szczere uznanie dla technicznej wiedzy Shimomury. Nie było tu urazy - tylko szacunek między dwoma graczami, z których jeden przegrał.


Kevin Mitnick, skuty kajdankami, wchodzi do amerykańskiego sądu po aresztowaniu. Ilustracja: Herald Sun

Następnie rozpoczęła się parada zarzutów:

  • 14 zarzutów oszustwa
  • 8 przypadków posiadania nielegalnego dostępu i urządzeń
  • przechwytywanie komunikacji elektronicznej
  • nieautoryzowany dostęp do komputera federalnego
  • naruszenie warunków zwolnienia przedprocesowego.

Wszystko to dzieje się na tle oskarżeń o kradzież i kopiowanie oprogramowania w firmach takich jak Motorola, Sun Microsystems, Nokia, Novell i innych.

Amerykański Departament Sprawiedliwości szacuje, że straty sięgnęły milionów dolarów.

Ale podczas gdy dokumenty sądowe sprawiły, że wyglądało to na zaplanowany schemat oszustwa cybernetycznego, sam Mitnick upierał się, że nie był chciwy, a jedynie intelektualnie ciekawy. Interesowało go "czy mogę to zrobić", a nie "ile dostanę". I wydaje się, że to była prawda. Nie kradł pieniędzy, nie sprzedawał kont. Hakował sieci dla samej przyjemności, a nie dla zysku.

"Buy Freedom": Jak Kevin Mitnick wyszedł z więzienia, ale nie całkiem wolny

Po czterech latach spędzonych w areszcie śledczym (tak, przebywał tam dłużej niż niektórzy ludzie pozostają w związku małżeńskim), Mitnick zgodził się na ugodę z biurem prokuratora. Dlaczego trwało to tak długo? Ponieważ prokuratorzy po prostu nie byli w stanie udowodnić wszystkich zarzutów - wiele głośnych oskarżeń wisiało bez dowodów.

W rezultacie: 4 zarzuty oszustwa telefonicznego, 2 zarzuty oszustwa komputerowego i jeden zarzut przechwycenia komunikacji. A wszystko to zamiast zakrojonego na szeroką skalę pokazu sądowego, który miał się właśnie rozpocząć. Z punktu widzenia prokuratora był to kompromis, ponieważ dowody były "luźne". Dla Mitnika była to szansa, by nie gnić w celi do emerytury.

Jego aresztowanie i proces stały się wydarzeniem narodowym: niektórzy domagali się surowej kary, podczas gdy inni skandowali "Uwolnić Kevina", podkreślając, że jego zbrodnie były bardziej techniczną akrobacją niż prawdziwym okrucieństwem. Podsyciło to debatę: co jest większe - zagrożenie czy wyzwanie dla systemu? I czy wszyscy hakerzy są przestępcami, czy też niektórzy z nich chcą po prostu zrozumieć, jak działa świat na poziomie bajtów?


Broszura "Uwolnić Kevina". Ilustracja: mitnicksecurity.com

Sędzia Mariana Pfaelzer wydała wyrok w dniu 10 sierpnia 1999 r.: 46 miesięcy więzienia (wliczając w to czas już odbyty), plus 22 miesiące za naruszenie warunków nadzoru od 1989 roku. Łącznie 5 lat.

A teraz najlepsza część (jeśli jesteś Mitnikiem): Zamiast 1,5 miliona dolarów odszkodowania, o które wnioskowało biuro prokuratora, otrzymał skromny czek na 4 125 dolarów.

Najwyraźniej sąd nie uwierzył w mityczne straty warte miliony. A może po prostu uznał, że facet bardziej udawał "hakerskiego złodzieja" niż nim był.

Kiedy Kevin Mitnick został ostatecznie zwolniony z więzienia federalnego 21 stycznia 2000 roku, wydawało się, że to szczęśliwe zakończenie. Ale wolność przyszła z taką "umową licencyjną", że niektórzy użytkownicy nawet nie kliknęli na Regulamin. W ciągu trzech lat warunkowego zwolnienia zabroniono mu używania czegokolwiek z procesorem, a nawet małego mrugnięcia.

Mógł korzystać tylko z telefonu stacjonarnego

Ale telefony komórkowe, komputery, modemy, drukarki, oprogramowanie, pendrive'y, kasy fiskalne, kalkulatory z pamięcią są tabu. Praca w IT? Zapomnij. Nie zatrudniliby go nawet w sklepie 7-Eleven, ponieważ kasa fiskalna jest "urządzeniem skomputeryzowanym". Oczywiście Mitnik nie mógł znieść tego cyfrowego więzienia i złożył pozew, uzyskując pozwolenie na korzystanie z Internetu w grudniu 2001 roku. Później otrzymał nawet amatorską licencję radiową, ponieważ Federalna Komisja Łączności uznała go za "społecznie zrehabilitowanego".

Jako bonus od systemu otrzymał klauzulę "nie jesteś Hollywood": przez siedem lat nie wolno mu było zarabiać na książkach, filmach ani żadnych treściach opartych na jego przygodach hakerskich - zgodnie z"prawem syna Sama", sztuczką prawną w USA, która zabrania przestępcom zarabiania pieniędzy na swojej sławie. Oznacza to, że jeśli zabiłeś kogoś, obrabowałeś bank lub włamałeś się do Pentagonu, a następnie zdecydowałeś się napisać o tym książkę lub nakręcić film, nie możesz po prostu wyjść i zarobić milionów, przekształcając własną biografię w model biznesowy.

Dla tych, którzy chcą dowiedzieć się więcej: "Mit Kevina Mitnicka"

autorstwa
Johna Markoffa

W swojej autobiografii (której wydawca odmówił włączenia do książki) Kevin Mitnick oskarża dziennikarza The New York Times Johna Markoffa o celowe zniekształcanie faktów i tworzenie wizerunku "cybermonstera" zdolnego do wyłączenia sieci telefonicznej za naciśnięciem jednego przycisku. Według Mitnicka, to właśnie dzięki takim wyolbrzymieniom w mediach stał się on "najniebezpieczniejszym hakerem Ameryki", zanim jeszcze stanął przed sądem. Podkreśla, że jego umiejętności techniczne były dalekie od magicznych, a wypowiedzi Markoffa stały się źródłem mitów, które tylko pogorszyły jego sytuację prawną.

Mitnick był szczególnie oburzony faktem, że Markoff był później współautorem książki Takedown (na podstawie której nakręcono również film pod tym samym tytułem) z Tsutomu Shimurą, ekspertem, który pomógł FBI namierzyć i aresztować hakera. Zdaniem Mitnicka był to oczywisty konflikt interesów, ponieważ dziennikarz nie tylko pisał o wydarzeniach, ale stał się częścią historii, którą przedstawiał opinii publicznej. W szczególności Mitnik napisał:

""W swoim oszczerczym artykule Markoff fałszywie twierdził, że podsłuchiwałem FBI (nie podsłuchiwałem); że włamałem się do komputerów w NORAD (które nie są podłączone do żadnej sieci na zewnątrz); i że byłem komputerowym "wandalem", pomimo faktu, że nigdy celowo nie uszkodziłem żadnego komputera, do którego kiedykolwiek uzyskałem dostęp"".

Ogólnie rzecz biorąc, nawet po zwolnieniu Mitnik był traktowany jako osoba, która może coś zepsuć jednym spojrzeniem. Podczas gdy niektórzy nazywali to bezpieczeństwem prewencyjnym, inni postrzegali to jako cyfrowe nękanie z przedrostkiem "analogowe".

Od hakera do obrońcy hakerów: jak Kevin Mitnick został konsultantem ds. cyberbezpieczeństwa

Po wyjściu z więzienia w styczniu 2000 r. Kevin Mitnick nie tylko ponownie wkroczył do cyfrowego świata - zrobił to z takim hukiem, że hakerzy chwycili za routery. Zamiast nowych hacków, zaczął legalnie "łamać" systemy - ale za pieniądze, z umowami, NDA i prezentacjami PowerPoint.


Haker Adrian Lamo (aresztowany w 2003 r.), Kevin Mitnick i haker Kevin Poulsen (zwolniony z więzienia w 1996 r.) - zdjęcie z ok. 2001 r. Ilustracja: Вікіпедія

W 2003 roku Mitnick założył własną firmę Mitnick Security Consulting, LLC i oficjalnie stał się bólem głowy dla słabo chronionych sieci korporacyjnych. Jego zespół, "Global Ghost Team", przeprowadzał testy penetracyjne, testy socjotechniczne, analizy incydentów i audyty podatności. I, jak się chwalili, mieli 100% wskaźnik sukcesu w testach ludzkiej naiwności. W tłumaczeniu, jeśli masz biuro, pocztę i ludzi, Mitnick wie, jak przeprowadzić cię przez recepcję za pomocą prostego, uprzejmego "Cześć, jestem z pomocy technicznej".


Kevin Mitnick, założyciel Mitnick Security Consulting. Ilustracja: mitnicksecurity.com

W 2011 roku został dyrektorem ds. hakowania w KnowBe4, firmie zajmującej się szkoleniami w zakresie cyberumiejętności. Stworzył tam kurs Kevin Mitnick Security Awareness Training (KMSAT), który wyjaśniał, jak unikać phishingu, spamu, prezentów trojańskich od "szefów" i magicznych plików PDF, które udają faktury, ale ujawniają niespodziankę w stylu ransomware.

Do klientów Mitnicka należały firmy z listy Fortune 500, agencje rządowe, a nawet sądy, gdzie występował jako ekspert w sprawach dotyczących cyberprzestępczości. Zamiast akt policyjnych miał teraz studia przypadków, odznakę prelegenta i oficjalny tytuł "człowieka, który wie, jak to działa od środka". Jego przejście z ciemnej strony na jasną udowodniło, że nawet były haker może stać się kimś, kto uczy innych, jak zapobiegać włamaniom - nie tylko systematycznie, ale także psychologicznie.

Książki Kevina Mitnicka czyta się jak thrillery

Oprócz hakowania systemów (obecnie legalnego) i przemawiania na konferencjach cybernetycznych, Kevin Mitnick zhakował inny system - system wydawniczy. Jego książki są czytane przez specjalistów IT, kadrę kierowniczą i tych, którzy po prostu chcą wiedzieć, jak uniknąć stania się "ofiarą niewinnego e-maila z tematem "Pilne, otwórz"".

Dzięki swoim książkom Mitnick przybliżył hakerstwo szerszej publiczności - bez geekowskiego snobizmu, ale z całą głębią tematu. Bo kiedy ktoś, kto kiedyś biegał z firewallami, aby obejść prawo, opowiada o tym, to nie jest to tylko informacja, to doświadczenie z pierwszej ręki.

Sztuka podstępu

W 2002 roku Mitnick opublikował swoją pierwszą i być może najbardziej znaną książkę, The Art of Deception. Mitnick nie tylko mówił w niej o inżynierii społecznej, ale także pokazał, jak łatwo jest oszukać osobę, jeśli wiesz, które przyciski nacisnąć. Wszystko to odbywa się za pomocą fikcyjnych, ale realistycznych historii, które przerażają nawet doświadczonych użytkowników. I, co najważniejsze, nie tylko przerażające historie, ale konkretne porady, jak się temu wszystkiemu oprzeć.

Sztuka inwazji

W 2005 roku Mitnick poszedł o krok dalej i opublikował The Art of Intrusion, zbiór prawdziwych przypadków: jak hakerzy penetrowali systemy, co robili i czego można się spodziewać, jeśli bezpieczeństwo jest na poziomie "kto nas zhakuje". Był to praktyczny przewodnik dla tych, którzy nie chcą skończyć na podobnej liście "ofiar przygód hakera #XYZ".

Duch w przewodach

W 2011 roku wydaliśmy to, na co czekali wszyscy fani: autobiografię Ghost in the Wires. To jak film w formacie książki - o jego włamaniach, ucieczkach, sztuczkach, sądach, FBI i całkowitej zmianie życia. Historia w stylu "był najniebezpieczniejszym hakerem - stał się bestsellerem New York Timesa".

Sztuka niewidzialności

I wreszcie, w 2017 roku, Sztuka niewidzialności. Jest to przewodnik dla tych, którzy chcą pozostać niezauważeni w cyfrowym świecie: jak nie pojawiać się w Internecie, chronić swoją prywatność, nie łapać reklam skarpetkowych po jednej wzmiance w rozmowie i nie stać się ofiarą cyberstalkerów.

Od antagonisty do architekta bezpieczeństwa

Odkąd wyszedł z cienia, Kevin Mitnick nie tylko pisał książki i konsultował się z firmami, ale także wyprzedawał publiczność jako mówca publiczny. Ale nie było to coś w rodzaju "naciśnij F5, aby odświeżyć swoją wiedzę". Jego prelekcje były jak prawdziwy film na żywo: z hackami na żywo, demonstracjami i phishingiem, które sprawiały, że nawet doświadczeni specjaliści IT się pocili.

Mitnick regularnie występował na najważniejszych wydarzeniach, w tym na legendarnym DEF CON, konferencji, która gromadzi wszystkich, od białych hakerów po ludzi w czerni, którzy nie rozpoznają przycisku "wyloguj". Tam jego obecność czasami wywoływała kontrowersje: ktoś, kto kiedyś włamał się do Pentagonu, pokazywał, jak skonfigurować program antywirusowy. Ale był pewny siebie i udowodnił, że kto lepiej niż były haker pokaże ci dokładnie, gdzie twój piec w centrum danych jest niezabezpieczony.


Kevin Mitnick wygłasza prezentację podczas wydarzenia Cyber Incursion w 2018 r. Ilustracja: mitnicksecurity.com

Jego specjalnością są demonstracje hacków na żywo: jak wykraść hasło za pomocą wiadomości phishingowej w ciągu minuty lub jak zmusić administratora do uzyskania dostępu do wszystkiego za pomocą prostego połączenia telefonicznego. Reakcja publiczności była jednoznaczna: najpierw śmiech, potem panika, a następnie wpisanie wszystkiego na listę kontrolną na poniedziałek.

Te wystąpienia sprawiły, że złożony i zwykle nudny temat cyberbezpieczeństwa stał się bliższy zwykłym śmiertelnikom. Mitnick nie tylko straszył, on wyjaśniał, pokazywał i uczył. Pokazał również, że były haker może nie tylko hakować, ale także budować zaufanie, system bezpieczeństwa, a nawet karierę na scenie ze wskaźnikiem laserowym w dłoni. Oto jedna z takich demonstracji z jego oficjalnego kanału YouTube. W filmie z 2021 roku demonstruje, jak uzyskał dostęp do biura banku za pomocą sklonowanej karty dostępu (i jak sklonował ją za pomocą technik inżynierii społecznej, organizując spotkanie z pośrednikiem w handlu nieruchomościami, który miał kartę dostępu i pracował w tym samym wieżowcu co bank):

16 lipca 2023 r., w wieku 59 lat, Kevin Mitnick przegrał walkę z rakiem trzustki - a wraz z nim odeszła epoka. Era, w której haker o złej reputacji stał się ewangelistą higieny cybernetycznej, a inżynieria społeczna przestała być tylko narzędziem ataku i stała się tematem szkoleń korporacyjnych.

Od młodości Mitnick pokazywał, że główną dziurą w każdej obronie nie jest oprogramowanie, ale człowiek.

Jego hacki, takie jak penetracja legendarnego systemu DEC Ark, otworzyły oczy wielu firmom: nie wszystko kończy się na antywirusie i firewallu. Inżynieria społeczna stała się główną bronią - i jednocześnie piętą achillesową - całych korporacji. To dzięki jego przypadkom termin ten przestał być czymś niszowym, a stał się tematem obowiązkowym dla każdego, kto obsługuje przynajmniej mikrofalówkę podłączoną do Wi-Fi.

Jego szkolenia, książki i wystąpienia położyły podwaliny pod nowe podejście do hakerów: nie tylko jako zagrożenia, ale jako potencjalnego zasobu. Jego życie jest teraz przykładem cyfrowej transformacji: od człowieka, którego bali się specjaliści IT i sędziowie, do eksperta, którego słuchają CISO i dyrektorzy generalni. Mitnick udowodnił, że nawet jeśli kiedyś byłeś "mrocznym rycerzem terminali", nie jest to wyrok. Jeśli wiesz, jak włamać się do systemu, możesz nauczyć, jak go chronić.

Konkluzja.

Mitnick na zawsze pozostanie jedną z najbardziej wpływowych postaci w historii cyberbezpieczeństwa. Udowodnił, że największą słabością każdego systemu jest osoba z identyfikatorem i dostępem do sieci wewnętrznej. Jego praca w Mitnick Security Consulting i KnowBe4 nadal wyznacza standardy szkolenia i ochrony w zakresie inżynierii społecznej. Ironią losu jest to, że haker, który kiedyś owinął swoje ręce wokół tych systemów, później pomógł je wzmocnić.

Jego książki, od Sztuki podstępu po Sztukę niewidzialności, to nie tylko przewodniki, ale także broń przeciwko cyfrowej naiwności. Dają wgląd w sposób myślenia hakera - nie z hollywoodzkich filmów, ale z rzeczywistości, gdzie kliknięcie "tak" na fałszywy e-mail może spowodować utratę czegoś więcej niż plików.

Mitnick pozostawił po sobie złożoną, ale ważną spuściznę. Był antagonistą, mentorem i symbolem tego, że nawet najbardziej niebezpieczny haker może zostać zrestartowany i stać się sprzymierzeńcem w walce z cyfrowym chaosem. Jego życie przypomina, że cyberbezpieczeństwo to nie tylko technologia, ale przede wszystkim ludzie. A walka o nie trwa nadal.

Dla tych, którzy chcą dowiedzieć się więcej

© 2007—2025 gagadget.com