MITNICK

De beruchtste hacker ter wereld Kevin Mitnick verdient tegenwoordig zijn brood als beveiligingsconsultant. Kan dat zomaar?

Het kleine bioscoopzaaltje in het Metreon gebouw in San Francisco loopt zo snel vol, dat mensen die er een lezing hebben bijgewoond en de zaal willen verlaten, bijna klem komen te zitten. 'Wie zou er toch komen?' vraagt iemand die het antwoord op die vraag al lang weet. 'Elvis' reageert de ander gevat.

'Elvis' is de Amerikaan Kevin Mitnick, de beroemde hacker die jarenlang achter de tralies zat, en van zijn hobby social engineering ? het losweken van vertrouwelijke informatie – zijn beroep heeft gemaakt. Dat wil zeggen: Mitnick leert bedrijven tegenwoordig dat de mens de zwakste schakel in de beveiliging is en hoe zij zich daartegen kunnen en zelfs moeten wapenen.

Mitnick is sinds hij weer op vrije voeten is een ware coryfee geworden. Hij was te zien in de Jimmy Kimmel Live Show en in Good Morning America en speelde een rol (als boevenvanger!) in de ABC spionagetriller Alias. Mogelijk krijgt hij ook een rol in een speelfilm met een andere outcast, Shawn Fanning van Napster. Zijn vriendin houdt een weblog bij ( www.labmistress.com ) waarop het reilen en zeilen van het gezin Mitnick (7-jarige dochter en moegestreden hond) als een soort Addams Family dagelijks uit de doeken wordt gedaan.

'Ik heb maar een uurtje, ik wil op tijd zijn voor mijn bezoek aan Alcatraz,' grapt Mitnick aan het begin van zijn lezing, verwijzend naar het gevangeniseiland dat even buiten San Francisco ligt en tegenwoordig een toeristenattractie is.

De 39-jarige Amerikaan is in San Francisco ter gelegenheid van het beveiligingscongres van RSA Security, en deelt handtekeningen uit ten behoeve van zijn boek The Art Of Deception. En zo kan het gebeuren dat hij op het podium verschijnt samen met officier van justitie Chris Painter, die hem ooit achter de tralies hielp.

Mitnick begon met hacken toen hij bij zijn gescheiden moeder leefde. Die lette niet zo op hem, waardoor hij allerlei kattenkwaad kon uithalen. Als 12-jarige jongen ontdekte hij hoe je gratis met de bus kon reizen door buskaartjes uit prullenbakken te vissen en er zelf gaatjes in te knippen. Al wat serieuzer werd het toen hij zich ging bezighouden met phone phreaking, het manipuleren van het telefoonnetwerk om gratis te kunnen bellen. Al op de middelbare school was Mitnick een bedreven computerhacker, die steeds verder ging in zijn poging om toegang tot computersystemen en telefooncentrales te krijgen. Zijn vermeende hack van het North Amerocan Air Defense Command stond model voor de filmWargame.

Lange tijd wist Mitnick uit handen van de politie te blijven. Drie jaar lang was hij op de vlucht voor de FBI. Tijdens zijn onderduikperiode werkte hij onder een valse identiteit als programmeur, maar intussen bleef hij duizenden computers van bedrijven en internet providers kraken.

Zijn overmoed werd hem tenslotte fataal. Het was beveiligingsexpert Tsutomu Shimomura die vermoedde dat hij met Mitnick te maken had en hem wist op te sporen in North Carolina. Mitnick werd gearresteerd en belandde in de gevangenis. Daar zou hij veel langer blijven zitten dan de bedoeling was. Vrienden probeerden hem met petities eerder vrij te krijgen, maar dat mocht niet baten. Vijf jaar lang bleef Mitnick opgesloten zitten in het Federal Correctional Institute in Lompoc (Santa Barbara County), waar hij naar eigen zeggen 'zijn lesje wel heeft geleerd'.

Pas in 2000 kwam Mitnick weer vrij, maar zijn proeftijd liep pas op 20 januari jongsleden af. Tot die tijd mocht hij geen computer aanraken en pas in december 2002 kreeg Mitnick na lang procederen weer de beschikking over een radiovergunning, die hij ooit had misbruikt om hacks te plegen.

Samen met Alex Kasper heeft Mitnick het bedrijf Defensive Thinking opgericht, dat bedrijven adviseert over beveiliging. Het meeste geld verdient hij echter met het geven van lezingen, waarvoor hij al gauw 10.000 tot 15.000 dollar vangt. Zijn levensverhaal mag hij op last van justitie echter niet eerder verkopen dan januari 2010, wanneer zijn 'marktwaarde' voldoende gedaald zal zijn. Verschillende filmstudio's in Hollywood willen evenwel nu al een film over hem maken en hebben advocaten ingezet om het publicatieverbod ongedaan te maken. Mitnick wil voorkomen dat andere boeken over hem worden verfilmd. Hij vecht al jaren een vete uit met de journalist John Markoff van de New York Times die als eerste over hem publiceerde en hem als staatsgevaarlijk kwalificeerde. Maar Mitnick vindt dat Markoff hem allerlei misdaden heeft toegedicht waaraan hij part noch deel heeft gehad.

Bodyguards
Toch heeft juist die mythe bijgedragen aan zijn populariteit. Met name in Polen wordt Mitnick op handen gedragen. Daar moesten tijdens een boekpresentatie zeven bodyguards worden ingeschakeld om fans bij hem weg te houden.

Mitnick heeft in ieder geval als voordeel dat hij zijn lezingen kan larderen met prachtige verhalen. Zo werkte Mitnick in 1994 als technicus bij een advocatenkantoor in Denver toen een collega van hem een brochure liet zien van een nieuwe mobiele telefoon van Motorola. Omdat Mitnick de software van die telefoon wel eens wilde bestuderen, belde hij Motorola op. 'Ik stelde me voor als een softwareontwikkelaar die de projectleider wilde spreken. Toen ik werd doorverbonden met zijn antwoordapparaat, bleek

dat hij twee weken met vakantie was en ik zijn assistente kon bellen.' Mitnick wist haar wijs te maken dat hij nog een bestand van haar baas zou krijgen. Niet alleen zocht de assistente het projectnummer en de broncode voor hem op, hij instrueerde haar ook om de software te comprimeren en het bestand (via FTP) aan hem te versturen. Mitnick: 'Motorola was niet gek en had de toegang tot externe servers geblokkeerd, dus heb ik de automatiseringsafdeling gevraagd of zij me konden helpen.' Binnen vijftien minuten, tijdens een wandeling van kantoor naar zijn woning, kon Mitnick beschikken over de geheime broncode van een belangrijk product.

Social engineering werkt volgens Mitnick zo goed omdat werknemers hebben geleerd om vriendelijk te zijn en anderen te helpen. 'Zeker als mensen technisch niet goed onderlegd zijn, kun je ze van alles wijs maken.'

Mitnick zegt dat hackers zich steeds vaker van deze methoden zullen bedienen. 'Ik zeg niet dat iedereen het kan. Je moet goed kunnen acteren, als je gaat aarzelen wek je argwaan.'

Een goede social engineer vergaart bijvoorbeeld heel veel informatie over zijn slachtoffers, zegt Mitnick. Ook verdiept hij zich heel goed in het jargon. 'Maar hij zal nooit zijn gezicht laten zien en zich altijd achter de telefoon blijven verschuilen.'

Mitnick pleit in zijn lezingen dan ook voor een menselijke firewall. Hij adviseert bedrijven om alle telefoongesprekken op te nemen en dat ook aan anderen duidelijk te maken. Verder moeten werknemers niet zomaar informatie aan vreemden geven. 'Social engineers zetten hun slachtoffers vaak onder druk om te voorkomen dat je argwaan krijgt. Als iemand erge haast heeft, is dat verdacht.'

Mitnick ging zelf veel verder dan de meeste hackers. Bij het bedrijf Novell wist hij bijvoorbeeld een antwoordapparaat van een werknemer te kapen (tijdens diens vakantie) en liet hij nietsvermoedende werknemers informatie inspreken. Omdat Mitnick ook zijn eigen stem op de band had vastgelegd, werden de opnamen in de rechtszaak als bewijsmateriaal tegen hem gebruikt. 'Degene wiens antwoordapparaat ik had gekaapt kwam ik jaren later tegen bij RSA,' zegt Mitnick. 'Ik heb mijn excuses aangeboden en inmiddels zijn we de grootste vrienden geworden.'

Strafblad
Niet iedereen ziet zijn rol als beveiligingsadviseur zitten. In San Francisco nam Mitnick deel aan een discussie genaamd Foxes In The Henhouse, over de vraag of het wel zo verstandig is om tot gevangenisstraffen veroordeelde hackers in te huren. HP beveiligingsexpert Ira Winkler toonde zich zelfs ronduit vijandig jegens Mitnick. Maar die had zijn antwoord al klaar. 'Ik weet dat toevallig Winkler zelf ten minste twee hackers met een strafblad heeft ingehuurd.' Toch heeft Winkler hier wel een punt. Zo werd ook Mark Abene alias 'Phiber Optik' ooit beveiligingsconsultant terwijl hij zijn proeftijd nog moest uitzitten. In 1997 testte Abene een programma voor een opdrachtgever waarmee wachtwoorden van webservers werden vergaard. Winkler: 'Dat was dan zogenaamd een ongelukje. Leg zo'n incident maar eens uit aan je aandeelhouders.'

Mitnick wees in San Francisco evenwel op figuren als Steve Wozniak and Steve Jobs van Apple, die hun carrière ooit zijn begonnen door illegale telefoonkastjes te verkopen, 'maar zich sindsdien volledig gerehabiliteerd hebben.'

Hetzelfde geldt voor de veroordeelde junk bond koning Micheal Milken.

Ook advocate Jennifer Granick, die hackers verdedigt in de rechtszaal, zegt dat een misverstand is om te denken dat hackers een gevangenisstraf ambiëren. 'De veroordeelde hackers die ik ken schamen zich.'

www.defensivethinking.com

www.kevinmitnick.com