„Karjera“ – nuo autobuso bilieto iki socialinės inžinerijos

Kevinas savo hakerio „karjerą“ pradėjo vos 12 metų, kai apgavęs autobusų bilietų patikros sistemą Los Andželo autobusais važinėjo praktiškai nemokamai. Tai tapo įmanoma dėl tam tikros vieno autobuso vairuotojo atskleistos informacijos ir pasirausus šiukšlėse prie pat autobusų firmos garažo.

Vėliau prasidėjo Kevino masiniai sėkmingi įsilaužimai į žinomų firmų kompiuterines sistemas bei kompiuterinius tinklus. Socialinė inžinerija tapo vienu pagrindinių Kevino kaip hakerio darbo metodų. Kaip pats Kevinas rašė savo autobiografijoje „Apgaulės menas“, kad sužinotų slaptažodžius ar kitaip įveiktų apsaugos sistemas jis praktiškai nenaudojo programinės įrangos ar įsilaužimo įrankių, o naudojo socialinės inžinerijos metodus.

Socialinės inžinerijos veikimo motyvai ir pritaikymas nėra nauja sritis. Bet šį terminą dar 1990 metais populiarinti pradėjo būtent Kevinas Mitnickas. Anot jo, jeigu nepavyksta įveikti kompiuterinės sistemos saugumo mechanizmų, lieka pati silpniausia vieta, – žmogaus psichologija. Kevinas ir šiandien save vadina „socialiniu inžinieriumi“, o ne programišiumi. Jis sako naudojęs „įtaigos ir manipuliacijos technikas“ norėdamas išgauti svarbią informaciją iš įtakingų žmonių, tarkim, įmonės kompiuterių tinklo priežiūros darbuotojų. Kevinas puikiai suprato, kad pagal griežtus algoritmus veikiančios kompiuterinės sistemos nėra linkusios klysti ar apsigalvoti. Tuo tarpu žmogui įgimta pasitikėti kitais ir tai neretai priverčia suabejoti savo pasirinkimu. Tai buvo jo stiprybė.

Labiausiai ieškomas Šiaurės Amerikos kompiuterių nusikaltėlis

Tačiau greitai K. Mitnickas dėl savo nusikalstamos veiklos buvo įtrauktas į ieškomų asmenų sąrašus – FTB paskelbė oficialią tuo metu dar ne taip gerai žinomo programišiaus paiešką. Bet ir slapstydamasis jis toliau vykdė nusikalstamas veiklas: įsilauždavo į ryšių kompanijų tinklus, sėkmingai atlikdavo daugybę kitų kibernetinių įsilaužimų ir informacijos vagysčių. Per du su puse slapstymosi metų Kevinas įvykdė tiek kibernetinių įsilaužimų ir nusikalstamų veiklų, kad padaryta žala taip ir nebuvo pilnai atlyginta.

Technologijos Kevinui padėjo klastoti savo elektroninę tapatybę bei slėpti savo buvimo vietą. FTB pareigūnai manydavo, kad Kevinas yra, tarkim, viename iš JAV universitetų (nes būtent iš universitetų serverių būdavo fiksuojamas signalas), tačiau atvykus į vietą FTB pareigūnai suprasdavo kad buvo apkvailinti ir suklaidinti, nes Kevinas atitinkamo universiteto serverius naudodavo tik kaip tarpine stotele, o pats būdavo visai kitoje vietoje.

Visgi po dviejų su puse metų slapstymosi, 1995 metais K. Mitnickas buvo sulaikytas. Atliekant kratą šalia jos buvo rasti klonuoti telefono aparatai, daugiau nei 100 prieigos kodų ir įvairių kitų suklastotos tapatybės priemonių, kurios jam padėjo netrumpą laiką išmaniai slapstytis nuo FTB pareigūnų.

Programišiaus patirtis geriems tikslams

Nuteistas K. Mitnickas kalėjime praleido apie 5 metus ir buvo išleistas 2000 metais. Dar kelis metus jam buvo draudžiama naudotis bet kokiomis informacinėmis technologijomis ir įranga, išskyrus laidinį telefoną. Taip pat dar 7-erius metus buvo draudžiama gauti pajamas platinant sukurtus filmus ar parašytas knygas apie jo kriminalinį gyvenimą.

Atrodytų, kad po tokių gyvenimo išbandymų ateitis turėtų būti gana liūdna. Visgi K. Mitnickas netikėtai tapo kibernetinio saugumo konsultantu, įvairių viešų renginių ir konferencijų pranešėju, autoriumi. Vėliau įkūrė ir šiandien vadovauja kompanijai „Kevin Mitnick security consulting“, kuri atlieka ir prasiskverbimo testus, ir konsultuoja kompanijas kibernetinio saugumo klausimais. Kevinas taip pat veda socialinės inžinerijos mokymus vyriausybinėms organizacijoms ir kompanijoms, kaip apsisaugoti nuo įvairių kibernetinių atakų, išnaudojant silpniausią apsaugos vietą – patį žmogų.

Darius Štitilis
Foto: Organizatorių nuotr.

Kibernetinio saugumo ekspertu galima tapti ir studijuojant universitete

Galbūt kai kam Kevino Mitnicko istorija gali skambėti įkvepiančiai, tačiau tapti darbo rinkoje paklausiu kibernetinio saugumo specialistu galima ir kitais būdais. Pasak Mykolo Romerio universiteto profesoriaus dr. Dariaus Štitilio, modernėjant IT technologijoms ir į elektroninę erdvę perkeliant vis daugiau paslaugų, grėsmės dėl asmenų ar organizacijų saugumo tampa vis didesnės, o pasekmės nutekinus duomenis – vis skaudesnės. „Kibernetinio saugumo specialistai, galintys užtikrinti įmonių duomenų apsaugą ir saugumą, valdyti atitinkamus saugumo procesus ir komandas, kaip niekad paklausūs darbo rinkoje neatsitiktinai, - pastebi D. Štitilis. – Technologijų ir kibernetinio saugumo specialistai turi suprasti informacinių ir verslo technologijų keliamus plėtros iššūkius, žinoti, kaip užtikrinti ne tik technologinius, bet ir organizacinius, komunikacinius, teisinius, vadybinius kibernetinio saugumo aspektus“. Anot profesoriaus, Mykolo Romerio universiteto kibernetinio saugumo programos - bakalauro „Technologijų ir kibernetinio saugumo vadyba“ bei magistrantūros „Kibernetinio saugumo valdymas“ išties unikalios. „Būsimas specialistas baigęs šias programas įgis ir technologines, ir kibernetinio saugumo rizikų valdymo, teisinio reguliavimo ir kitas svarbias kompleksines kompetencijas, o karjera nebus tokia vingiuota kaip Kevino Mitnicko“, - šypsosi MRU profesorius D. Štitilis.