Kevin Mitnick " I'm not a Hacker, I'm security professional "
Tidak perlu di pertanyaan lagi siapa hacker yang paling terkenal. Salah satunya hacker komputer pertama yang pernah dituntut yaitu Kevin Mitnick, dia sudah dicap sebagai "teroris komputer" setelah buron dari FBI selama tiga tahun dengan tuntutan menyusup ke jaringan komputer dan mencuri software di Sun, Novell, dan Motorola, yang akhirnya ditangkap pada tahun 1995.
Kevin Mitnick
Mitnick mengaku bersalah atas tuduhan penipuan komputer lalu dibebaskan dari penjara pada tahun 2002. Kemasyhuran-Nya telah membantunya mendapatkan ceramah yang menguntungkan bagi dirinya, dan hingga akhirnya dia memulai sebuah konsultasi keamanan (securitas), di mana sekarang dia dibayar untuk melakukan beberapa tindakan yang tadinya menyebabkan ia dijebloskannya ke penjara.
Pada bagian yang pertama CNET News berbicara dengan Mitnick (45), tentang apa yang membuat dia tertarik pada komputer di tempat yang pertamanya dulu, perbedaan antara hacking hari ini dan tiga dekade yang lalu, dan apakah itu menjadi sebuah kebijaksanaan untuk mempekerjakan seorang mantan black hat hacker untuk melakukan sebuah pekerjaan keamanan.
Q : Kapan anda memulai hacking?
Mitnick: Ketika saya berusia 16 atau 17 tahun, ketika saya masih di SMA – 1979 : pada saat itupun bahkan masih ilegal
Q : Bagaimana anda bisa terjun untuk pertama kalinya?
Saya menjadi sangat tertarik pada ponsel. saya adalah seorang operator radio amatir, selama sekitar tiga tahun dan di sekolah menengah ini saya bertemu dengan mahasiswa lain yang ayahnya juga adalah seorang operator radio amatir juga, dan murid lain ini juga punya hobi menelepon 'iseng' dan dia memperkenalkan saya tentang ini.
Dia mampu melakukan hal-hal yang luar biasa dengan sistem telepon. Dia bisa mendapatkan nomor yang tidak terdaftar. Dan hanya dengan sebuah nomor, dia bisa mendapatkan nama dan alamatnya sekaligus. Dia bisa melakukan semua ini seperti trik sulap dengan sistem telepon. Sayapun juga memiliki minat yang sama pada telepon dan radio. Untuk itu,Dia memperkenalkan saya pada telepon phreaking (ilmu membobol keamanan jaringan) dan ketika itu perusahaan-perusahaan telepon mulai mengkonversi ke sistem elektronik dari sistem elektromekanis. mereka menggunakan sistem operasi pertama komputer untuk mengendalikannya.
Jadi, perusahaan telepon sendiri yang mengotomatisasi prosesnya. lebih lanjutnya lagi mengenai keahlian phreaking saya itu, akhirnya hal itulah yang menjadikan saya akrab dengan sistem telepon komputer. Dan dari situlah awal mengapa saya terjun untuk hacking.
Q: Jadi anda mulai beralih dari phreaking ke hacking?
Ya. Perusahaan telepon tersebut menggunakan sistem komputer yang disebut COSMOS, yang mana berdiri untuk Sistem Komputer Mainframe Operasi. Yah, hacking pertama saya terjadi sebagai mahasiswa di Monroe High School di Sepulveda, California, di San Fernando Valley. Aku bertemu dengan mahasiswa lain yang sangat tertarik ke komputer pada masa itu menggunakan Commodore VIC-20. Mereka menawarkan kursus pelatihan komputer untuk dewasa tapi aku bukanlah seorang senior jadi dia memperkenalkan saya kepada seorang profesor. Dan dia tidak membiarkan saya masuk ke dalam kelas. Jadi saya melakukan semua trik elektronik ini dengan sistem telepon, dan guru sayapun saat itu terheran-heran dan ia membebaskan saya dari prasyarat dan membiarkan saya di kelas. Saya pikir ia menyesali keputusan itu hari itu.
Pada akhirnya apa yang Anda lakukan dengan telepon?
Saya mecoba menelepon ke sistem komputer. Anda bisa berinteraksi dengan mereka dengan suara Anda dan kontrol mereka dengan sentuhan-nada. Dia memberikan saya sebuah nama dan kota ia tinggal, dan saya bisa langsung mendapatkan nomor teleponya. Saya dapat menghubungkan radio dengan sistem telepon dan mendial ke komputer dan mengakses mereka melalui sentuhan-nada. Pada waktu itu cukup suli karena Anda tidak memiliki sistem respons suara seperti yang ada saat ini.
Q: Apa kegiatan hacking Anda yg paling membanggakan?
Yang Etis atau tidak etis nih (sambil tertawa)? Anda mungkin ingin mendengar kisah tentang ketika saya adalah seorang hacker. Saya kira ketika saya mengganggu system Nokia. Saya bisa menelepon seorang karyawan di Motorola dan meyakinkan dia untuk mengirim saya kode untuk Ultra Lite MicroTAC ponsel ... Motorola telah melindungi seluruh kampus oleh SecurID dan saya mampu menggunakan rekayasa sosial yang sangat rumit dan juga memanipulasi skema jaringan teleponya dan memanggil kembali nomor Motorola yang terdapat di dalam kampus. Jadi intinya saat itu saya menyakinkan seorang manajer dalam operasinya untuk mengatakan salah seorang karyawanya untuk membaca SecurID danmelepaskan kode RSA setiap saat saya membutuhkannya agar saya bisa mengakses jaringan jarak jauh. Itula bagaimana saya bisa mengakses jaringan internal dan kemudian saya bisa menggunakan secara teknis untuk menghack ke dalam perkembangan server ponsel . dan saya dapat menemukan 'Source Code' untuk semua ponsel yang berbeda.
Saya tertarik pada seri MicroTAC karena itu tampak seperti Star Trek komunikator. Saya ingin memahami bagaimana telepon ini bekerja, bagaimana menguasai kode prosesor. Saya tidak tertarik menjual 'Source Code' atau melakukan apa saja dengannya. karna tentang tantangan untuk mendapatkannya saya harus membobol empat lapisan keamanan untuk masuk. Dan saya tidak benar-benar bangga, karena hal itu jelas-jelas salah ... saya membuat keputusan bodoh dan patut disesalkan dan memutuskan untuk pergi setelah mendapatkan kode sumber tersebut.
Q: Ketika Anda mengatakan itu tadi adalah tentang tantangan untuk mendapatkan hal itu, dapatkah Anda menguraikanya?
Pada saat itu saya benar-benar seorang buronan di Denver, Colorado, dan salah satu rekan saya menyodorkan brosur telepon ini dan saya pikir itu sangat keren. seperti iPhone hari ini. Aku benar-benar ingin memahami protokol apa yang digunakannya, bagaimana telepon bicara dengan jaringan komunikasi, bagaimana semua ini beroperasi? Dan aku berpikir mungkin aku bisa memodifikasi firmware untuk kode dalam telepon dan membuatnya lebih sulit bagi pemerintah untuk melacak saya. Sebagai contoh, ada beberapa metodologi yang digunakan pemerintah, seperti setiap saat telepon aktif maka selular tersebut memberikan sinyal ke perusahaan telpon yang dapat mengetahui keberadaan saya, Saya ingin dapat bisa memindahkan jalur on menjadi off. Jadi intinya saya ingin selular saya selalu off, tapi saya bebas berkomunikasi dan melakukan 'hal-hal extra'. Pada waktu itu aku punya ide, tapi aku tidak pernah melakukanya jadi kenyataan karena saya begitu sibuk hacking dan Itu cukup butuh perjuangan. Setelah saya mendapatkan kode sumber. Motorala membuat saya sangat berminat. Sayapun mulah ngeh kesana, membacanya dan mencoba memahami apa yang saya bisa mengerti.
Setelah itu saya pindah ke perusahaan lain dengan ponsel yang berbeda pula dan itu benar-benar tentang yang berarti. Ini adalah tantangan masuk dan mendapatkan kode, menyimpan itu di USC di Los Angeles, dan pindah ke yang berikutnya. Begitulah cara aku tertangkap. The USC administrator melihat bahwa banyak ruang disk mereka telah digunakan dan sistem-sistem mereka juga telah di dilanggar dan mereka akhirnya memanggil FBI. Perusahaan itu sendiri tidak menyadari mereka kena 'hacked'. USC akhirnya menemukan hal itu ... dan saaat itu saya tidak memiliki cukup waktu untuk menyembunyikannya (kode sumber). Disituah saya jatuh
Q: Apakah tahu apa yang Anda lakukan itu ilegal?
Aku mulai hacking kembali di 70-an dan pada dasarnya tidak ada hukum yang menentang hal itu, terhadap phreaking atau hacking. Di sekolah, orangtua saya dan orang lain benar-benar didorong untuk hal tersebut. Ada etika yang diajarkan. Jika Anda dapat kembali ke masa-masa sekolah komputer Anda bisa dianggap anak jagoan. Hari ini jika Anda melakukannya dan Anda berhasil, anda akan diusir atau mereka memanggil polisi untuk menangkap anda. dan mereka mengkriminalkanya itu nanti. Aku begitu terpikat petualangan dari permainan hacking, melakukannya selama beberapa tahun walaupun itu adalah ilegal. Itu petualangan yang menegangkan. Ini semua tentang memecahkan teka-teki, menggunakan kecerdasan untuk dapat mengelilingi rintangan. Rasanya seperti sebuah permainan besar.
Q: Apa yang akan Anda lakukan jika Anda bisa kembali ke masa lalu?
melihat ke belakang, saya tidak akan melakukan apa yang saya lakukan sekarang . saat ini saya jauh lebih cerdas dan bijaksana, dan itu menyebabkan banyak administrator sistem jaringan dengan terus terang mengalami banyak sakit kepala . dan Itu adalah salah untuk dilakukan. Tetapi pada waktu itu tidak ada yang namanya tes penetrasi, kurikulum sekolah dan tidak ada keamanan. Anda harus otodidak. Begitulah cara saya belajar tentang sistem dan keamanan - melalui hacking. saya mengambil jalan yang salah dalam melakukannya. Aku tidak akan mengulanginya. Hari ini banyak sekali metode penetrasi system, buku-buku security. Pada saat itu, banyak perusahaan dan universitas tidak memberikan banyak memikirkan keamanan. Ketika saya berumur 17 tahun, perusahaan telepon begitu marah ketika saya melakukan hacking ke system mereka - dan bukan hacking melalui komputer tetapi melalui rekayasa sosial dan memanggil dan mengendalikan sentuhan telepon atau menelepon karyawan. Tidak ada hukum yang menentang hal itu. Mereka benar-benar menarik keluar telepon di rumah kami, dan aku tinggal bersama ibuku pada saat itu. Saya masih di SMA. Mereka tidak mengizinkan kami memiliki telepon dan dikutip California Komisi Utilitas Publik aturan bahwa jika ada penipuan atau penyalahgunaan perusahaan telepon dapat menarik telepon. Alih-alih menghentikan kegiatan saya, saya membayangkan menjadi mereka. Kami tinggal di sebuah kondominium. Kondominium saya bernomor unit dan kami unit 13. Aku pergi ke toko dan mendapatkan angka 1, 2, dan B untuk unit 12B. Aku menelepon perusahaan telepon dan mengatakan kepada pembangun yang telah membangun unit lain di kompleks kondominium. Kemudian perusahaan telepon keluar dan memasang telepon untuk pelanggan baru di 12B di bawah nama ibuku. Lalu kami punya telepon selama dua minggu dan satu hari itu baru saja mati. Perusahaan telepon sangat marah karena aku telah melakukan hal yang rumit ini untuk mengelabui mereka. Setelah sekitar enam bulan kami mendapat layanan telepon kembali tapi kami hanya bisa mendapatkan akses panggilan keluar
Q: tentang waktu Anda di penjara. Berapa lama waktu yang Anda jalankan dan seperti apa?
saya menjalani selama lima tahun, dan berakhir di kurungan selama satu tahun karena jaksa federal mengatakan kepada hakim bahwa jika saya memiliki telepon, saya dapat terhubung ke NORAD (North American Aerospace Komando) dan entah bagaimana meluncurkan ICBM (Intercontinental Ballistic Missile) . Jadi hakim rupanya membayangkan film War Games, lalu menempatkan saya dalam kurungan tersendiri. Saya pikir itu adalah strategi yang mereka gunakan untuk mendapatkan saya untuk memohon keluar atau bekerja sama. Aku ini diselenggarakan selama empat setengah tahun tanpa pengadilan. Saya menghabiskan banyak waktu fokus pada pertahanan dan membaca kasus dan melayani sebagai asisten pengacara saya. Pada akhir hari saya menyadari keadilan ekonomi; kecuali jika Anda punya cukup uang untuk menginjak dengan benar pertahanan yang efektif atau Anda kalah.
saya ingin mengakui bahwa saya telah melakukan hacking, tapi maksud dan tujuan itu bukanlah penipuan karena untuk melakukan penipuan, Anda harus mengubah properti untuk Anda gunakan sendiri dan keuntungan, untuk keuntungan. Dalam kasus saya yang kurang. Aku melakukannya untuk sebuah pengakuan. saya kloning sel telepon ke pelanggan dan panggilan acak ke komputer dari ponselnya. Tujuannya bukanlah untuk membuat panggilan gratis, melainkan untuk membuatnya lebih sulit bagi pemerintah untuk melacak saya. Mereka menyatakan semua menyusup ke perusahaan-perusahaan yang sangat besar saat penipuan rumit itu terjadi dan saya menyebabkan kerusakan senilai$ 300 juta. Mereka mengatakan nilai properti saya disalin, oleh biaya pembangunan dan penelitian,dan hasilnya adalah $ 300 juta. Pemerintah mencoba menggunakan definisi kehilangan harta berwujud. Jika saya menyalin kode tersebut dan mereka tidak lagi menggunakannya, itu akan menjadi $ 300 juta kehilangan.
Mereka mengatakan kepada pengacara saya bahwa jika saya tidak bekerja sama dan mengaku, mereka tidak hanya akan membawa saya ke pengadilan di Los Angeles, tetapi mereka akan menempatkan saya di pintu putar persidangan dan akan menaruh saya di sebuah bus lalu membawa saya ke yurisdiksi federal. Jadi, saya akirnya menandatangani kesepakatan dan mengakui penyebab kerugian antara $ 5 juta dan $ 10 juta . saya benar-benar tidak percaya saat Menandatanganinya. Tujuan saya, Saya menandatanganinya hanyalah untuk keluar. saya benar-benar tidak percaya sampai hari ini kalau tindakan saya tersebut menyebabkan sejumlah kerugian, karena tak satu pun perusahaan yang menjadi korban kehilangan penggunaan kode mereka, mereka tidak pernah mengklaim kerugian akibat kegiatan saya. Tentu ada kerugian, mungkin dalam ribuan dolar, yaitu untuk waktu yang mereka luangkan untuk menyelidiki siapa yang meng 'hack' ke sistem mereka dan untuk mengamankan mereka. Mereka adalah kerugian yang nyata. Tapi aku adalah contoh bagi pemerintah federal, jadi mereka perlu menempatkan saya pergi untuk waktu yang lama. Itu sebabnya saya sangat marah dan pahit terhadap pemerintah pada waktu itu, karena saya tidak sedang dihukum untuk apa yang saya lakukan. saya dihukum karena apa yang saya wakili pada saat itu. Aku tidak ragu dihukum karena apa yang saya lakukan. Hukuman yang diterima harus sesuai dengan kejahatan.
Q: Jadi, jika ada orang yang bertanya pelajaran apa yang telah Anda pelajari, apa yang akan Anda katakan?
Jangan melanggar hukum. Jangan mengganggu properti orang lain. Karna itu adalah sebuah kesalahan. Tidak etis dan tidak bermoral. Dan tentunya sekarang itu ilegal, masuk tanpa izin. Anda melanggar hak milik seseorang. Dan mereka memiliki hak untuk mengontrol dan menjaga rahasia milik mereka. Apa yang telah dsebabkan oleh membuat perubahan hati saya yaitu adalah tumbuh dewasa. Saat saya melakukan itu semua masih muda dan belum dewasa, dan tidak pernah merusak apapun dengan disengaja.
Apakah Anda merasa bahwa hacking Anda telah menyebabkan perubahan positif dalam diri anda?
Ya. Ini menyebabkan karir saya. Hari ini saya berbicara di seluruh dunia, saya melakukan pentrasi testing sepanjang waktu - dan dalam pengujian penetrasi, ke mana aku pergi setelah mandat yang paling sensitif pada sebuah perusahaan untuk melihat apakah saya bisa sampai ke puncak tertinggi. saya melihat apa yang saya bisa lakukan sebagai hacker. Saya sangat menikmati pekerjaan ini karena ketika itu bahwa saya dapat melihat kegiatan kriminal, lalu melegitimasinya, dan mendapatkan bayaran untuk itu. Etika hacking. Ini tidak seperti Anda bisa menjadi pengedar narkoba dan pergi bekerja untuk Walgreens ... Banyak penetrasi testing hari ini telah melakukan hal-hal yang tidak etis di masa lalu mereka selama proses belajar mereka, terutama yang tua-tua karena tidak ada kesempatan untuk belajar tentang keamanan. Kembali ke 70-an dan '80-an, itu semua otodidak. Jadi banyak yang lama sekolah hacker benar-benar belajar pada sistem orang lain. Dan pada waktu itu, aku bahkan tidak bisa mampu membeli komputer saya sendiri. Sebuah terminal rendahan seperti $ 2.000. Sebuah 1.200 baud modem adalah seperti $ 1.200. Biaya teknologi ini berada di luar jangkauan saya sebagai mahasiswa sekolah tinggi jadi aku biasa pergi ke universitas lokal dan menggunakan sistem mereka, walau tanpa sepengetahuan mereka, untuk belajar.
Q: Nasihat bagi kaum muda hacker?
Yeah, jangan mengikuti jejak saya. Ada pasti jalan lain atau kesempatan dan cara-cara lain bahwa orang dapat belajar dan mendidik diri mereka sendiri tentang hacking, keamanan, dan penetrasi testing. Hari ini pasar yang besar. Ini menjadi masalah besar dalam pemerintah federal dengan infrastruktur kritis.
Beberapa orang mengatakan perusahaan tidak boleh mempekerjakan mantan black hat hacker. Apa pendapat anda tentang itu?
Saya sering di sewa sepanjang waktu. Sejauh ini belum benar-benar menjadi penghalang. Anda harus mengevaluasi keahlian seseorang, kedewasaan mereka, dan apa yang mereka lakukan sebelumnya sebagai hacker. Apakah mereka mendapatkan nomor kartu kredit dan membeli barang dagangan di Internet? Ataukah mereka melakukan hacking system untuk keingintahuan intelektual mereka sendiri? Anda tidak bisa hanya beranggapan bahwa black hat hacker ke dalam satu kategori kejahatan. Anda harus melihat pada apa yang mereka lakukan di masa lalu, apa yang telah mereka lakukan sejak saat itu, dan apa kepercayaan mereka harus mendapatkan pekerjaan yang dilakukan. Orang-orang yang telah beroperasi di sisi lain dari hukum, seperti Frank Abagnale, dia adalah contoh utama. Dia mereformasi dirinya sendiri dan sekarang adalah otoritas terkemuka uang palsu dan cek. Lihatlah Steve Wozniak. Dia bahkan mulai keluar sebagai phreak telepon (dan menjual kotak-kotak biru di kampus UC Berkeley). Tapi ia mengambil arah yang sama sekali berbeda. Dia melakukan banyak hal baik bagi masyarakat. Itu faktor lain apa saja yang membuat orang telah menjadi baik, dan orang itu melakukannya untuk masyarakat dan industri sejak dari pelanggaranya
Q: Apa yang Anda lakukan sekarang?
Consulting, penulis, pembicara publik. Saya pergi ke seluruh dunia untuk menjadi pembicara. Itulah kegiatan utama saya - etika hacking, penetrasi testing, sistem harware, pelatihan, pendidikan. Dan aku mengerjakan otobiografi saya. Itu di musim semi 2010.
Sumber : http://news.cnet.com
