Kevin Mitnick: O bezpieczeństwo naszych danych będą walczyły maszyny

Kevin Mitnick jest jednym z najbardziej znanych hakerów w historii, swoją karierę zaczynał jeszcze czasach szkolnych od prostych trików pozwalających na włamania do analogowych sieci telefonicznych. Z czasem Mitnick dokonywał coraz bardziej zaawansowanych ataków na systemy informatyczne, w latach 90. stał się przedmiotem zainteresowania ze strony amerykańskich służb śledczych.

Ostatecznie Mitnick został zdemaskowany przez FBI i spędził w więzieniu ponad 4 lata, zaś dla wielu środowisk jego działalność hakerska stała się symbolem walki jednostki z największymi korporacjami.

Po odzyskaniu wolności były haker został jednym z najbardziej rozpoznawalnych na rynku ekspertów od spraw cyberbezpieczeństwa, szkoli firmy w zakresie ochrony danych, jest też autorem wielu publikacji na ten temat.

Człowiek to najsłabsze ogniwo

Kevin Mitnick był jednym z prelegentów podczas pierwszej konferencji Inside Trends zorganizowanej w Warszawie przez Business Insider Polska w dniach 18 i 19 października br.

Podczas swojego wystąpienia oraz warsztatów Mitnick podkreślił, że zastosowanie metod inżynierii społecznej pozostaje nadal jedną z najbardziej skutecznych metod wykradania informacji w formie cyfrowej.

- Człowiek jest najsłabszym ogniwem w łańcuchu bezpieczeństwa – zaznaczył Mitnick. - Zmanipulowanie jednej osoby współtworzącej system wystarcza zwykle do tego by otrzymać te dane, na których zależy atakującym.

Ekspert z hakerskim doświadczeniem zdradził, że podczas prowadzonych przez niego szkoleń najskuteczniejszą metodą uświadomienia pracownikom firm zagrożeń związanych z zagrożeniem przez cyberprzestępców jest demonstrowanie symulacji ataków. Mitnick zaznaczył też, że dla hakerów atakowanie ludzi za pomocą socjotechniki jest tańsze i prostsze niż poszukiwanie luk w systemach informatycznych. Przyznał także, że w Polsce tego typu metody są trudniejsze do zastosowania niż w USA czy wielu krajach zachodnich, bowiem Polacy są z natury bardziej nieufni niż mieszkańcy innych państw.

Sztuczna inteligencja do ataków i ochrony

Obecnie Kevin Mitnick prowadzi w Las Vegas firmę Mitnick Security Consulting. W rozmowie z serwisem Wirtualnemedia.pl były haker ocenia obecną sytuację w dziedzinie światowego cyberbezpieczeństwa i dzieli się prognozami na przyszłość w tym segmencie.

Wirtualnemedia.pl - W 2003 r. był Pan w Polsce przy okazji wydania swojej pierwszej książki „Sztuka podstępu”. Czy od tamtej pory, po 15 latach zmieniło się wiele w kwestii bezpieczeństwa w sieci? Żyjemy w innym świecie niż wtedy?

Kevin Mitnick: - Na pewno inżynieria społeczna – temat poruszany szeroko w mojej pierwszej książce jest wykorzystywana w o wiele większym stopniu niż kiedyś. Być może nawet „Sztuka podstępu” się do tego przyczyniła, dzisiaj jest obowiązkowym podręcznikiem na wielu kursach dotyczących cyberbezpieczeństwa. Ogólny trend jest taki, że hakerzy i przestępcy w sieci stają się coraz lepsi, a to oznacza konkretne konsekwencje przede wszystkim dla firm, bo one są dzisiaj głównym obiektem ataków. Te następstwa to nie tylko przypadki utraty cennych danych, ale przede wszystkim konieczność budowy coraz bardziej skomplikowanych systemów bezpieczeństwa i związane z tym rosnące wydatki, które stają się bardzo poważną częścią budżetów przedsiębiorstw.

Jak Pan zachowuje się dzisiaj korzystając z internetu? Używa Pan wyspecjalizowanych narzędzi do ochrony, czy poprzestaje na rozwiązaniach ogólnie dostępnych na rynku?

Korzystam w większości z narzędzi które są powszechnie dostępne. Może z tą różnicą, że używam na co dzień mechanizmu wirtualizacji i bardzo dbam o urządzenia z których korzystam. Mocno zwracam też uwagę na raporty pochodzące z zainstalowanego w urządzeniach oprogramowania oraz wszelkie informacje na temat anomalii zachodzących w działaniach systemów i aplikacji. Myślę, że jestem w tym niewielkim procencie użytkowników, których jest trudniej zaatakować niż innych. Czy to oznacza, że nie można przeprowadzić na mnie skutecznego ataku? Oczywiście że można. Cyberprzestępcy czy służby wywiadowcze mogą na przykład fizycznie włamać się do mojego pokoju hotelowego. W tej chwili  nie mam w zasięgu wzroku mojego komputera i nie wiem co by się stało gdyby na przykład polskie służby uzyskały do niego dostęp i zechciały uzyskać jakieś informacje na mój temat. To oczywiście sytuacja hipotetyczna, ale wskazuje na pewną prawidłowość, która w ciągu minionych lat wcale nie straciła na znaczeniu – trzeba oczywiście zabiegać o swoje bezpieczeństwo w internecie, ale nie mniej istotne jest dbanie o ochronę fizycznego dostępu do sprzętu z którego korzystamy na co dzień.

Żyjemy w czasach dynamicznego rozwoju nowych technologii, których coraz ważniejszym elementem staje się sztuczna inteligencja. Czy dopuszcza Pan możliwość, że w przyszłości cyberprzestępcy będą powszechnie korzystać z rozwiązań AI do przeprowadzania ataków, a z drugiej strony sztuczna inteligencja przejmie funkcje związane z odpieraniem takich zagrożeń?

Taki scenariusz przywołuje skojarzenia z filmem „Terminator”, jednak moim zdaniem jest bardzo prawdopodobny. Nie wydaje mi się, żeby w niedalekiej przyszłości sztuczną inteligencję mogli wykorzystywać pojedynczy cyberprzestępcy, przede wszystkim dlatego że wymaga ona określonej wiedzy i jest wciąż kosztowna. Co innego jednak w wypadku zorganizowanych grup hakerskich pochodzących z Rosji czy Chin, które z pewnością wykorzystają prędzej czy później AI do przeprowadzania swoich ataków. Z drugiej strony wiele firm już dzisiaj deklaruje, że korzysta z mechanizmów sztucznej inteligencji i uczenia maszynowego do ochrony przed zagrożeniami z sieci. Tak przynajmniej twierdzą w swoich ofertach – nie widziałem kodów źródłowych tych rozwiązań, więc nie wiem czy to prawda. Jednak niezależnie od tego nie mam wątpliwości że wcześniej czy później AI zostanie zaangażowana zarówno do przeprowadzania ataków na konkretne systemy, jak i do ich skutecznej obrony. Choćby z tego powodu, że sztuczna inteligencja stanie się elementem otaczającej nas codzienności, zatem wkroczy także w obszary dotyczące naszego cyberbezpieczeństwa.