[HACK] Entrevista Kevin Mitnick

[merce]

(publicado en la revista @rroba)


14/06/06 10:52:15


KEVIN MITNICK: ESE PEASO HACKER


"SHIMOMURA ES UN GILIPOLLAS"



Kevin Mitnick tiene cara de susto. Quizás por sus famosos 5 años en
prisión. Quizás porque hace nada que acaba de despertar del sueño
del jet-lag. Está en Barcelona para dar una conferencia sobre
ingeniería social, donde le presentan como "el hacker más famoso del
mundo". No necesita esta leyenda: es fácil dejarse seducir por la
persona. Paranoico impecable, el portátil (Dell) y los móviles
siempre bajo su control, el adicto al hacking se ha transformado en
un adicto al trabajo. Lleva corbata y traje, que pronto se revelan
como máscaras: sus ojos y su frecuente carcajada permiten entrever
el alma salvaje que ni las pasadas aventuras, rompiendo sistemas y
escapando de la ley, ni el ahora frecuente contacto con
corporaciones y gobiernos -"th3y suck", sabes que piensa- han podido
doblegar. A sus 43 años, Mitnick sigue siendo un sensible y
solitario chiquillo emperrado en demostrarnos que sí, es un hacker.


-Hace diez años, yo empezaba a conocer a mis primeros hackers y tu
entrabas en prisión...

-¿Fuí tu primera historia?

-Mmmm.. psí. Entonces, para mi no eras una leyenda sinó "aquel pobre
chico" y, cuando la comunidad gritaba "Free Kevin", significaba
también "Liberad a los hackers del mundo", en un momento en que la
policía les perseguía sin entenderlos, también en España.

-¿También aquí?

-No a tu nivel, pero sí. ¿Crees que ha cambiado el panorama desde
entonces?

-Ahora hay mucho hacking que no está hecho por los hackers
tradicionales sinó por criminales, crimen organizado, y muchos
ataques son para robar, para enriquecerse. En mis tiempos primaba la
curiosidad intelectual y el reto. Este ha sido el principal cambio y
es ahora el principal problema.

-¿El problema hoy no son los hackers sinó los criminales?

-Sí. O los criminales que reclutan hackers. Hay mucho más interés
criminal que intelectual.

-¿Actualmente estás en contacto con el underground hacker no
criminal? ¿Conoces a gente haciendo cosas interesantes?

-Si lo supiese, no podría contártelo, jaja.

-¿Pero estás en contacto?

-Si, por supuesto, vivo de esto, tengo que estar en contacto. La
mayoría de hackers que conozco son de mis tiempos y trabajan ahora
en seguridad. Tenemos una red de amigos y aprendemos juntos. Muchos
de ellos trabajan haciendo tests de penetración en empresas.

-¿Conoces también a chicos que empiecen en el hacking?

-No muchos, les veo en conferencias como la DefCon en Las Vegas,
pero conozco a más gente de cuando yo era hacker.

-Aquí ha pasado lo mismo: los hackers que hace diez años eran
perseguidos por la policía, ahora trabajan con ella.

-Sí, para parar a los auténticos criminales.

-¿Era éste el plan de los hackers para dominar el mundo? ¿Tomar el
control de empresas y gobiernos, como profesionales de su seguridad?

-No. Más bien ha evolucionado de esta forma, no era un plan. Muchos
hackers de entonces ahora trabajan en seguridad porque tienen el
conocimiento, saben de qué va. Lo que sí es interesante es que lo
que antes hacías como hacker y era malo, ahora le pones delante el
adjetivo "ético" y haces lo mismo, encontrar las vulnerabilidades de
las empresas con ingeniería social, redes inalámbricas, etc, pero
está bien. Es un poco de locos.

-¿Era tu sueño?

-Nunca había esperado estar hoy aquí. Sencillamente sucedió.

-¿Desde tu corazón, qué crees que hiciste mal para acabar en prisión?

-Introducirme en sistemas informáticos de otras personas y coger
información que no era mía. Por ejemplo, estaba muy interesado en un
teléfono concreto. Este teléfono tenía un chip con un "software"
propietario. Hackeé esta empresa y cogí una copia del "software". La
razón era que quería aprender cómo funcionaba, pero robé, y aquello
estuvo mal. Por suerte todo esto pertenece al pasado.

-¿Qué hacías en prisión? ¿Sabías que la gente en el exterior gritaba
"Free Kevin"?

-Un poco. Al principio estaba aislado, porque mi caso afectaba a la
seguridad nacional, no podía ni tocar un teléfono. Era horrible.
Pasaba la mayor parte del tiempo estudiando leyes y tratando de
trabajar con mis abogados para que me sacasen de allí.

-(Se le quiebra la voz)

-Pasaba todo el tiempo estudiando leyes, casos, porque el mío era
relativamente nuevo y tuve que investigar, buscando información para
que mis abogados pudiesen ayudarme. Después, cuando ya no estuve
aislado, pasaba mucho tiempo al teléfono, hablando con gente de
fuera, y leyendo. Eran mis formas de escapar, escapaba mentalmente.

-¿La campaña "Free Kevin" te ayudó?

-Sí, para darme moral, totalmente.

-¿Después de eso, crees en la justicia?

-En la norteamericana, no.

-¿Crees que las actuales leyes que afectan al hacking son buenas?

-Depende de las leyes. Me parece terrible la rapidez con que el
gobierno americano señala a un hacker como terrorista y decide que
se le debe dar el mismo castigo. Un hacker no tiene por qué ser
necesariamente un terrorista. En algunos casos, sí, por ejemplo
Al-Qaeda usando ordenadores. Pero la gente que está haciendo hacking
por el simple reto, o incluso por intereses criminales, robar
dinero, no son terroristas. Entonces, ¿por qué rápidamente asignan
el nivel de terrorista a quien no lo es? Por el miedo. La gente
tiene miedo de que ataquen sus ordenadores, su mundo, y el gobierno
norteamericano explota este miedo, llamando terroristas a gente como
yo. No conozco a ningún hacker que sea terrorista. Seguro que hay
alguno, pero hasta la fecha no he conocido a ninguno.

-¿Crees que el castigo para los hackers malos debería ser la prisión
o hay alternativas, como los trabajos para la comunidad?

-Sería muy bueno que se les condenase a trabajar para la comunidad,
pero depende de lo que hayan hecho.
-Pienso en un chico con curiosidad, no un criminal.

-Entonces, lo que necesitaría sería redirigir sus energías hacia
algo positivo. No creo que un hacker curioso deba ir a prisión,
porque no tiene una intención criminal. El problema es que, en
América, el hacking es automáticamente un crimen. Pero, para mi,
debería tenerse en cuenta el objetivo final: robar es una cosa y
buscar conocimiento es otra. Pero el gobierno americano no lo ve
así, y últimamente el británico tampoco. No les importa por qué lo
hayas hecho, te ven como un criminal. Gente joven de 18, 22 años,
sencillamente curiosos, les cogen y llevarán la marca de haber
cometido un delito grave el resto de su vida. Es un gran problema.
Pronto, ya verás, el hacker no será considerado sólo como terrorista
sinó como enemigo de guerra y encerrado en Cuba, no me sorprendería.

-¿Sobre el gobierno británico, te refieres al caso del llamado
"hacker de la NASA"?

-Gary McKinnon, sí. No hace mucho, su gobierno aceptó extraditarlo a
Estados Unidos. ¿No podían haberlo juzgado en Gran Bretaña directamente?

-Leí que quizás le llevarían a Guantánamo.

-¿Lo ha dicho algún gobierno?

-No, lo leí en una lista de correo.

-No creo que le lleven a Guantánamo, pero ¿por qué no le juzgan en
su país, es que allí no tienen leyes y jueces? O en mi caso: me
trataron como a un terrorista, más de 4 años en prisión sin juicio
ni fianza. Usaron mi caso para hacerse publicidad, para sus juegos
políticos, los fiscales consiguieron mejores trabajos, uno de ellos
ascendió a un cargo en el departamento de Justicia...

-(Está indignado). No quería hablar de John Markoff...

-El periodista que escribió un libro sobre mí, para hacer dinero.
Usó su posición en "The New York Times" para escribir informaciones
falsas sobre mi y, después, para vender el libro.

-... pero sí de Shimomura.

-¿Qué pasa con él?

-Dicen que te cazó.

-Colaboró con Markoff en la idea del libro. Es un hacker, pero no un
hacker blanco como le presentaron. Había robado ficheros de
contraseñas de muchas universidades del mundo, lo que me hace pensar
que más bien es un hacker gris.

-¿Odias a Shimomura?

-No. Creo que es un gilipollas porque se cree más listo que los
otros y elegante, sí, elegante.

-Internet va muy rápido. ¿Cómo aprendiste todo lo que habías dejado
de aprender en prisión?

-La gente me enviaba libros cuando estaba en prisión, pero es muy
diferente leer algo a utilizarlo. Leer no es tan divertido. Así, los
primeros años me concentré sólo en investigar para mi caso. 10 meses
antes de salir, empecé a leer libros de informática y se me permitía
acceder a la habitación donde había ordenadores, para usar sólo el
correo electrónico. Mi gente me mandaba mails, de los que el
personal de prisión leía los encabezados, y eran tan estúpidos que
creían que me los mandaban con algún tipo de código secreto, tan
paranoicos estaban conmigo.

-Uf..., pobre Kevin.

-Uf...

-Por suerte, tu especialidad, la ingeniería social, no cambió mucho
en estos años.

-Han salido nuevas técnicas, en el sentido de las historias que se
cuentan para engañar a la gente. En un ataque de ingeniería social
te pones en un rol, una identidad. Normalmente en una identidad de
confianza para la persona o empresa que vas a atacar. Cada ataque
tiene una historia, una razón para pedir a alguien lo que quieres.
La imaginación humana ha creado muchas historias, que cambian
contínuamente, pero la base, la metodología es siempre la misma:
manipulación, engaño e influencia.

-¿Has inventado alguna vez una nueva técnica de ingeniería social?

-No, pero he perfeccionado algunas, creando buenas historias,
entendiendo la psicología de la gente y encontrando formas para
convencerla de que me dé la información. Si te pones en un rol, es
muy simple obtener información, la gente la da sin pensar, de una
forma increible. Si te disfrazas de periodista de "El Pais", por
ejemplo, y vas a una organización y pides información, te la darán,
incluso puede que te enseñen su sala de ordenadores. O, por ejemplo,
los ataques con código malicioso que llegan por correo electrónico,
con un enlace hacia un sitio concreto que es una web maliciosa. O el
phishing. O los gusanos.

-O sea, todo es ingeniería social

-Sí.

-También el periodismo es ingeniería social.

-Por supuesto.

-Y yo, ahora, estoy haciendo ingeniería social a un gran ingeniero
social. Es una posición difícil.

-Jaja. No exactamente. Escucho tus preguntas y puedo decidir decir
sí o no.

-¿La ingeniería social es el punto más débil de las corporaciones?

-Sí.

-¿Y por qué las corporaciones son tan estúpidas?

-Porque no entrenan bien a su gente, no tienen políticas de
seguridad, no clasifican la información, no examinan la seguridad
del elemento humano, no entrenan a la gente para que sea resistente
a estos ataques, no tienen protocolos, procedimientos, no usan la
tecnología que existe para que tome las decisiones que dejan tomar a
un operador humano, más débil... El gran problema de las empresas es
cómo autentifican a las personas. En el mundo de los ordenadores, si
no tienes la contraseña no puedes entrar. Pero si alguien llama por
teléfono, no se le autentifica, se le cree directamente.

-Podríamos hablar mucho sobre seguridad: spam, phishing, cross site
scripting.. horas y horas. Pero no las tenemos.

-Te quedan 15 minutos.

-Entonces: ¿Cuál es la peor amenaza ahora mismo en Internet, tanto
para empresas como para usuarios?

-Hay muchas, pero las peores son: código malicioso, exploits 0-day e
ingeniería social.

-¿En el mundo de la seguridad, qué es lo que más te interesa
actualmente?

-Cosas nuevas que los hackers puedan usar para comprometer sistemas.

-¿Por ejemplo?

-Las memorias USB. En Taiwan las están construyendo con la capacidad
de un CDROM y que pueden autoejecutar programas. Puedes poner
documentos en una memoria USB, enviarlo a alguien, que lo conecte y
le ejecute un programa. Esto es algo nuevo.

-Por cierto, ¿qué distribución de Linux usas?

-Gentoo. Ahora la tengo en mi nuevo Macbook.

-(El recuerdo de su nuevo MacBook le provoca una sonrisa de niño
feliz). Dicen que se calienta mucho, que quema en las piernas.

-Bueno, yo lo pongo sobre la mesa, pero sí que se calienta, sí.

-¿Cuánta gente trabaja en tu empresa, Mitnick Security Consulting?

-Tengo 2 trabajadores contratados y, cuando tengo un proyecto, cojo
a colaboradores.

-¿Contratas a hackers?

-Hackers éticos, sí. Criminales, no.

-¿Tu también haces tests de penetración o sólo conferencias?

-Sí, hago tests porque me gusta, es divertido.

-¿Y qué te gusta más?

-Las conferencias, porque conoces a gente interesante, viajas a
ciudades distintas..

-Hay gente que quiere a Mitnick. Y hay gente que le odia y dice que
Mitnick no es un hacker. ¿Qué les dirías?

-Francamente, que no me importa, porque no me conocen. Buena parte
de mi trabajo es técnico, pero tampoco necesito que ellos conozcan
mis habilidades técnicas. Lo menos que sepan de mi, mejor. Los que
quiero que sepan si lo hago bien son mis clientes, no esa gente de
Slashdot y otros, estos son irrelevantes.

-Es el problema de ser una celebridad.

-Sí. Unos te quieren y otros no. Es como un programa de radio, que a
3.000 personas les gusta y a 3.000, no.

-Yo sí creo que eres un hacker, no el mejor porque si fueses el mejor...

-...no me habrían cogido.

-Y no serías famoso. Pero en cambio creo que eres el mejor ingeniero
social, entre otras cosas porque he leído tu libro "The Art of
Deception".

-¿Te gustó?

-Mucho.

-Y también porque creo que estás haciendo ingeniería social a todas
esas corporaciones y gobiernos, con tu mito y tus palabras.

-(No lo discute y ríe para sus adentros)

-Un mito que no construiste solo. La comunidad de Internet te ayudó
a ser una leyenda. Y, como sabemos, cuando Internet te da algo, tú
le das algo a cambio. ¿Qué les has dado tú a Internet, Kevin Mitnick?

-(Azorado, por unos segundos, desprevenido). Contribuyo con mi
conocimiento, como ayudar a muchas empresas y personas a conectarse,
también participo en muchos "shows" radiofónicos y alojo algunos,
ayudando a la gente con consejos sobre seguridad. Escribo artículos.
Intento dar mi conocimiento a la comunidad, para evitar que
comprometan sus equipos.

-También pienso que has ayudado a la comunidad hacker...

-Sí. Cuando me cogieron y estuve en prisión, jamás dí nombres de
nadie, jamás hablé de otra gente, me callé, no quise traer problemas
a nadie, aunque esto significase que yo tuviese más problemas. Tuve
la boca cerrada.

-...y sigues siendo de ayuda, con el arquetipo que representas,
demostrando que, por una parte, un hacker malo puede rectificar y
ser bueno y, segundo, que un hacker puede ser una figura respetable
ante el mundo.

-Deja que te dé un abrazo.


Mercè Molist


Copyright 2006 Mercè Molist.
Verbatim copying, translation and distribution of this entire
article is permitted in any digital medium, provided this notice is
preserved.


http://ww2.grn.es/merce/2006/mitnick.html



-- 
"No atendras mes que el merit personal, siguin quins siguin el rang,
l'estat o la fortuna"
Del Codi Moral Masonic