Kevin Mitnick: Umění klamu

Zpráva o tom, že v České republice je právě na návštěvě jistý pan Mitnick, zakladatel společnosti Defensive Thinking, zabývající se poradenstvím v oblasti bezpečnosti, by nejspíše nepřilákala příliš velkou pozornost médií a veřejnosti. Pokud se k tomu ale dodá, že jde o „toho“ Kevina Mitnicka, médii pasovaného na „největšího hackera všech dob“ a dnes obráceného na druhou stranu barikády, pak už jde o mnohem zajímavější informaci. Máte-li zájem, můžete se s ním setkat dokonce i osobně: bude představovat svou knihu The Art of Deception: Controlling the Human Element of Security, která právě dnes vychází v českém překladu pod názvem Umění klamu. Spoluautorem je William L. Simon a česká verze bude péčí polského vydavatelství Helion (v České republice jej zastupuje společnost Kanzelsberger). Tzv. „autorské setkání“ a autogramiáda proběhnou dnes (ve čtvrtek 25. září), v Domě knihy na Václavském náměstí 4 v Praze, od 16 hodin.

Kým byl Kevin Mitnick

Kevin Mitnick vyrůstal v San Fernando Valley, poblíž Los Angeles, a již v útlém mládí nacházel zajímavé způsoby, jak dělat věci, které se „normálně nedělají“. Třeba jak jezdit městskými autobusy zcela zadarmo. Nebo jak přelstít veřejnou telefonní síť a telefonovat zcela zadarmo nebo různě přepojovat cizí hovory. Nebo jak proniknout do počítače společnosti DEC. Zajímavé ale je, že k tomu využíval jak svých znalostí a technické dovednosti, tak především schopnosti manipulovat s lidmi: uvést je v omyl, ovlivnit a přesvědčit k vykonání něčeho ve svůj prospěch, co by tito lidé za normálních okolností vůbec neudělali. Například zmiňovaný průnik do počítače firmy DEC provedl mladý Kevin Mitnick tak, že zavolal administrátorovi systému a vydával se za jednoho z hlavních programátorů tak přesvědčivě, že mu uvěřili a poskytli potřebné údaje pro přístup a ještě ho nechali nastavit si vlastní heslo.

S postupem času Kevin Mitnick tuto svou schopnost manipulace s lidmi dále rozvinul a povýšil na svou hlavní zbraň. Začal ji označovat jako „social engineering“ (podle českého překladu knihy: „sociotechnika“) a i dnes se jako červená nit táhne celou jeho knihou. Ostatně, výmluvný je už samotný název knihy, stejně jako hlavní zjištění, které je v knize obsažené: nejslabším článkem v každém bezpečnostním systému jsou lidé. To prý Kevin Mitnick zjistil, už když mu bylo 17 let.

Výčet a popis dalších „kousků“ dospívajícícho a dospělého Kevina Mitnicka se většinou liší podle toho, zda je popisuje on sám, nebo bulvárnější či méně bulvární média, případně zda jde o vyšetřování „orgánů činných v trestním řízení“. Měl se například nabourávat do ústředen mezinárodních korporací či dokonce do počítačů Velitelství vzdušné obrany Severní Ameriky(NORAD), které ale vůbec nejsou připojeny k žádné externí veřejné síti. Měl získat přístup k obchodním tajemstvím v hodnotě milionů dolarů. Měl odcizit data týkající se nejnovější generace elektronických zabezpečení a supertajných nástrojů, používaných bezpečnostními orgány.

Faktem je, že svého času byl jednou z nejhledanějších osob v historii FBI, že v roce 1995 byl skutečně zatčen a že mu hrozil trest několika set let odnětí svobody. Ve vyšetřovací vazbě strávil čtyři a půl roku, aby nakonec odešel jen s pětiletým trestem a pokutou ve výši 4150 dolarů. Proč tak velká disproporce? Možná proto, že vyšetřující a soudní orgány zpočátku nevěděly, jak správně ohodnotit, co vlastně Kevin Mitnick svými průniky spáchal a kolik škody skutečně natropil. Prvotní odhady byly mnohdy astronomické, ale pak rapidně klesaly. Za všechny jeden citát:

generální prokurátor James Sanders přiznal soudkyni Pfaelzerové, že ztráty, které utrpěl DEC v důsledku činnosti Mitnicka, nedosáhly čtyř milionů dolarů, jak hlásaly titulky novin, ale pouze 160 tisíc dolarů. Tato suma však nepocházela z konkrétních škod, ale z odhadovaných nákladů na zalepení děr odhalených jeho průniky".

Součástí Mitnickova trestu bylo i zajímavé omezení: zákaz jakékoli činnosti spojené s počítači. Prý proto, že:

vyzbrojen klávesnicí je nebezpečím pro společnost".

Tento zákaz vypršel teprve o půlnoci 20. ledna 2003.

O čem je Umění klamu?

Po svém propuštění z vězení se Kevin Mitnick úplně změnil, přestoupil na „druhou stranu barikády“ a založil firmu Defensive Thinking, která se zabývá poradenstvím v oblasti bezpečnosti. Radit hodlá jiným firmám zejména v tom, jak se zabezpečit proti sociotechnikám (social engineering), které dříve sám používal. Kniha Umění klamu, která právě nyní vychází v češtině, do tohoto záměru přesně zapadá – je vlastně plná konkrétních příběhů o bezpečnostních incidentech, o kterých autoři prohlašují že „pokud není napsáno jinak, jsou příběhy představené v této knize čirou fikcí“. Není ale těžké si domyslet, odkud může pocházet jejich inspirace.

Pokud byste čekali, že zmíněné příběhy jsou hluboce technická a tudíž nepříliš záživná pojednání o slabinách počítačových platforem či technikách průniku, pak jste na omylu. Výsledek je naopak velmi čtivý, také proto, že těžiště příběhů je skutečně v lidech a v jejich jednání. To znovu zdůrazňuje hlavní autorovo zjištění, že nejslabším článkem v každém bezpečnostním systému jsou lidé.

Součástí knihy však jsou také rady a doporučení týkající se předcházení „sociotechnickým útokům“, včetně podkladů pro preventivní školení či vzorovou bezpečnostní politiku firmy.

A co životopis Kevina Mitnicka?

Pokud byste si knihu Kevina Mitnicka koupili s očekáváním, že v ní najdete zpracovaný jeho životní příběh, budete zklamání. Není tam, a ani nemůže být. Další ze součástí rozsudku vůči Kevinu Mitnickovi je totiž klauzule, která mu do roku 2007 zakazuje „prodávat“ vlastní příběh.

Přesto vás Kevin Mitnick o svůj pohled na vlastní život neochudí – jen není součástí knihy, kterou si kupujete. Představuje jakousi „utajenou kapitolu“, s názvem Historie Kevina, kterou si můžete volně stáhnout z Internetu (například ze stránek věnovaných celé knize, v češtině). Na stejném místě najdete také méně subjektivní zpracování jeho příběhu, od jiného autora, s názvem Hledá se: Kevin Mitnick.