Kevin Mitnick: van beruchte hacker tot beveiligingspecialist

De menselijke firewall

Kevin Mitnick is een voorbeeld voor hackers wereldwijd. De Amerikaan zat voor zijn digitale inbraken vijf jaar in de gevangenis en mocht daarna niet eens in de buurt van een computer komen. Sinds kort mag hij weer online en nu is hij beveiligingsexpert. Met 'oude' vaardigheden die nog steeds werken. "Kijk, de rijbewijsgegevens van George Bush senior."

Kevin Mitnick: "Geef mij een naam van een willekeurige Amerikaan en binnen drie minuten heb ik zijn sofi-nummer."

Mitnick (41) is even in Nederland om op een congres te spreken over 'social engineering': het misleiden en manipuleren van mensen om informatie los te krijgen. Een techniek die hij vroeger volop gebruikte. Hij vertelt hoe hij in 1994 door pure bluf en overredingskracht de broncode van een nieuwe mobiele telefoon van Motorola in handen kreeg. "Het was een erg fraai nieuw model en ik was nieuwsgierig naar hoe het werkte." Terwijl hij na werktijd naar huis wandelde, belde hij per mobiele telefoon naar het hoofdkantoor van Motorola. Uiteindelijk wist hij een medewerker te overtuigen dat haar baas, die op vakantie was, had beloofd dat Mitnick de broncode zou krijgen. En dat er vast iets was fout gegaan, want hij had nog niets ontvangen. En of zij zo vriendelijk wilde zijn om... "Voordat ik de sleutel in mijn voordeur stak, lag de broncode op een server in Colorado op me te wachten."
In het luisterend publiek zitten vertegenwoordigers van bedrijven die toentertijd een gewild slachtoffer zouden zijn geweest: KPN, KLM, Van Lanschot bankiers. Dergelijke bedrijven kunnen nu de hulp van Mitnick inroepen. Met zijn bedrijf Defensive Thinking houdt hij zich bezig met 'ethical hacking'. Bedrijven kunnen hem inhuren om hun beveiliging te testen. Op technisch gebied, maar ook met social engineering.

Rotgeintjes

Mitnick was al vroeg geïnteresseerd in techniek, vooral in de werking van de telefonie. "Ik was een 'telefoonphreaker' en haalde rotgeintjes uit." Zo veranderde hij als puber bij een collega-phreaker de status van zijn vaste telefoonaansluiting naar die van een telefooncel. Als zijn vriend wilde bellen, kreeg deze te horen dat hij eerst een muntje in moest werpen. Hij had in die tijd ook regelmatig contact met hackers uit Nederland. "Ik hackte toen met mensen uit Amsterdam. Die groep, waaronder Rop Gonggrijp, heeft later Xs4all opgericht". Gonggrijp heeft nog tevergeefs geprobeerd Mitnick over te halen naar Amsterdam te komen, om eventuele arrestatie door de Amerikanen te ontlopen. "Ik heb de dag voordat ik werd gearresteerd nog met hem gebeld. Hij zei: 'Kom naar Amsterdam'. Dat heb ik niet gedaan en we weten allemaal wat er daarna is gebeurd."
Na een jacht van drie jaar pakt de FBI Mitnick op 15 februari 1995. Hij was in die tijd door alle media-aandacht een levende mythe geworden. Mitnick als 'überhacker'. Hij zou een nucleaire aanval kunnen beginnen door in de telefoon een lanceercode te fluiten. "Ik heb acht maanden in eenzame opsluiting doorgebracht omdat de aanklager de rechter dit had wijsgemaakt. En die geloofde het!" Mitnick wordt beschuldigd van het inbreken in diverse computersystemen, maar het duurt tot 1999 voordat de rechter hem daadwerkelijk veroordeelt. In januari 2002 komt hij vrij en pas een jaar later mag hij weer online. "Goddank is dat allemaal achter de rug."

Bush senior

Mitnick is vooral bekend om zijn social engineering-trucs, maar hij gebruikte vroeger ook technische vaardigheden. "Ik zette ze beide in als een 'blended threat', ik combineerde verschillende technieken bij een aanval." Mitnick adviseert nu bedrijven over hoe ze beveiliging moeten aanpakken. "Mensen, technologie en beveiligingsprotocollen moeten allemaal samenwerken. Als er één onderdeel mist, zal de aanvaller daar misbruik van maken." En belangrijk: een social engineer is volgens Mitnick bijna altijd succesvol. "Bel als zogenaamde helpdeskmedewerker tien mensen binnen een bedrijf en vraag of ze problemen hebben met hun computer. Er is er altijd wel een die ja zegt." De social engineer biedt de oplossing: download een programma, voer het uit en je hebt nergens meer last van. "Natuurlijk weten wij dat het een Trojan horse is, of erger." Training is volgens Mitnick de beste manier om tegen dit soort praktijken een menselijke firewall te creëren.
Mitnick mag dan op het rechte pad zijn, hij illustreert graag hoe makkelijk het is om aan 'geheime' informatie te komen. "Sofi-nummers zijn zogenaamd geheim in Amerika. Veel banken in de VS gebruiken ze bijvoorbeeld om je identiteit te verifiëren. Geef mij een naam van een willekeurige Amerikaan en binnen drie minuten heb ik zijn sofi-nummer, geboortedatum, adres, telefoonnummer en de meisjesnaam van zijn moeder", daagt Mitnick uit.
Met zijn laptop met Windows XP - "Windows is handig bij presentaties, thuis gebruik ik Linux" - struint Mitnick geroutineerd een aantal webpagina's af. "Laten we Steve Wozniak opzoeken, hij is een vriend van me en zal het niet erg vinden." Via http://www.merlindata.com vindt Mitnick alle gegevens van de Apple-oprichter: sofi-nummer, telefoonnummer, adres, de hele mikmak. Voor de lol zoekt Mitnick op een andere webpagina nog even de rijbewijsgegevens op van George Bush. Na enig speuren op een site waarvan iedereen na betaling gebruik kan maken, vindt hij die van Bush senior inclusief rijbewijsnummer, adres, geboortedatum. "Cool he, maar ook gevaarlijk dat het zo gemakkelijk is."< BR>