Kevin Mitnick: l’hacker più ricercato d’America
Da phone phreaker adolescente a nemico pubblico numero uno dell'FBI: la storia di Kevin Mitnick, inventore del social engineering.
Kevin Mitnick non era il miglior programmatore del mondo. Non era nemmeno il più bravo a trovare vulnerabilità nel codice. Ma aveva un talento che nessun firewall poteva bloccare: sapeva parlare con le persone. Sapeva convincerle a dargli password, codici di accesso, informazioni riservate. E lo faceva con una naturalezza che lasciava i suoi interlocutori convinti di aver fatto la cosa giusta. Mitnick non hackerava i computer — hackerava le persone che li usavano.
Gli inizi: il ragazzino con il telefono
Tutto cominciò con il phone phreaking. Nella Los Angeles degli anni Settanta, Mitnick era un adolescente con un’ossessione: il sistema telefonico. A dodici anni aveva capito come funzionavano gli autobus della città — non i circuiti elettronici, ma il sistema di biglietti con le obliteratrici. Comprò una obliteratrice usata e viaggiò gratis per mesi. Poi scoprì il telefono, e lì trovò il suo campo di gioco.
Il phone phreaking era una subcultura nata negli anni Sessanta. Persone come John Draper (Captain Crunch) avevano scoperto che i toni giusti potevano controllare le centraline telefoniche AT&T. Mitnick ci si buttò a capofitto. A diciassette anni era già in grado di manipolare qualsiasi centralina della Pacific Bell. Non per rubare — per il gusto di poterlo fare.
DEC, Pacific Bell e i primi guai seri
Nel 1979, a sedici anni, Mitnick fece il salto dai telefoni ai computer. Il bersaglio era la Digital Equipment Corporation — DEC, all’epoca uno dei più grandi produttori di computer al mondo. Mitnick voleva il codice sorgente del VMS, il sistema operativo dei loro minicomputer VAX. Non per venderlo o per danneggiare l’azienda, ma perché voleva studiarlo.
Come ci riuscì? Non con exploit tecnici sofisticati. Chiamò un dipendente DEC fingendosi un collega del reparto sviluppo, e si fece dare le credenziali di accesso. Semplice. Devastante. Era la prima dimostrazione documentata di quello che oggi chiamiamo social engineering.
Seguirono anni di intrusioni sempre più audaci. Pacific Bell, Motorola, Nokia, Sun Microsystems, Fujitsu. Mitnick entrava, copiava codice sorgente, studiava i sistemi, e se ne andava. Non vendeva nulla, non distruggeva nulla. Ma il danno — almeno quello percepito — era enorme. Le aziende non potevano tollerare che un ragazzo di Los Angeles entrasse e uscisse dai loro sistemi come voleva.
La caccia: Shimomura, l’FBI e la fuga
Nel 1992 Mitnick era sotto sorveglianza dell’FBI. Violò le condizioni della libertà vigilata e sparì. Per quasi tre anni visse come un fantasma, spostandosi da una città all’altra con identità false, lavorando con computer di altre persone, usando telefoni cellulari clonati.
L’errore fatale lo commise il giorno di Natale del 1994, quando entrò nel computer di Tsutomu Shimomura, un fisico ed esperto di sicurezza informatica del San Diego Supercomputer Center. Shimomura la prese sul personale. Insieme all’FBI e al giornalista del New York Times John Markoff, iniziò una caccia che durò settimane.
Shimomura tracciò le connessioni cellulari di Mitnick attraverso mezza America. Il 15 febbraio 1995, a Raleigh, North Carolina, l’FBI bussò alla porta del suo appartamento. Mitnick aprì e disse: “Vi stavate chiedendo quando sareste arrivati?”
Il processo e la leggenda del fischio nucleare
Quello che successe dopo l’arresto è forse più significativo dell’arresto stesso. Mitnick fu tenuto in carcere per quasi cinque anni — di cui otto mesi in isolamento. Il motivo dell’isolamento è entrato nella leggenda dell’informatica: un pubblico ministero convinse il giudice che Mitnick era così pericoloso da poter “lanciare missili nucleari fischiando in un telefono pubblico.”
Era ovviamente assurdo. Ma rifletteva il panico dell’epoca: nessuno capiva davvero cosa potesse fare un hacker, e quindi gli si attribuivano poteri quasi sovrannaturali. Mitnick fu condannato a cinque anni di carcere e tre di libertà vigilata, con il divieto di usare qualsiasi dispositivo elettronico — computer, telefono, qualsiasi cosa.
La comunità hacker si mobilitò. Il sito “Free Kevin” divenne uno dei primi casi di attivismo digitale. L’argomento era semplice: Mitnick non aveva rubato denaro, non aveva danneggiato sistemi, non aveva venduto dati. Aveva copiato codice per studiarlo. La pena era sproporzionata.
La trasformazione: da black hat a consulente
Mitnick uscì di prigione nel 2000. Dopo tre anni di libertà vigilata senza poter toccare un computer, nel 2003 fondò la Mitnick Security Consulting. L’ex hacker più ricercato d’America era diventato un consulente di sicurezza. Le stesse aziende che lo avevano denunciato ora lo pagavano per testare i loro sistemi.
Scrisse due libri che sono diventati letture obbligate per chiunque lavori nella sicurezza informatica: The Art of Deception (2002) e Ghost in the Wires (2011). Il primo è un manuale di social engineering — spiega, con esempi reali, come le persone possano essere manipolate per rivelare informazioni sensibili. Il secondo è la sua autobiografia, scritta con un ritmo da romanzo noir.
La lezione di entrambi i libri è la stessa: puoi avere il firewall più sofisticato del mondo, la crittografia più forte, i sistemi più aggiornati. Ma se qualcuno chiama il tuo help desk e convince un operatore a resettare una password, tutto crolla. Il fattore umano è e resta l’anello debole della catena.
L’eredità
Kevin Mitnick è morto il 16 luglio 2023, a 59 anni, per un cancro al pancreas. La notizia ha fatto il giro del mondo in pochi minuti.
Quello che ha lasciato è più di qualche libro e qualche aneddoto. Mitnick ha essenzialmente inventato una disciplina: il social engineering come vettore di attacco. Oggi ogni penetration test serio include una componente di social engineering. Ogni programma di security awareness insegna ai dipendenti a non fidarsi delle telefonate sospette. Ogni simulazione di phishing è figlia di quello che Mitnick faceva con un telefono e un tono di voce convincente negli anni Ottanta.
Ha anche dimostrato qualcosa di scomodo che il mondo della sicurezza preferisce non ammettere troppo spesso: la tecnologia è prevedibile, le persone no. E finché saranno le persone a usare la tecnologia, il social engineering resterà l’arma più efficace in circolazione.
Blogger dal 2001, Nativo Digitale, Developer.
Da 15 anni mi occupo di IT per una grande Azienda.
Lavoro per abbattere il Digital Divide.
Visita i miei altri progetti
sardiniamobility.com
www.cyberness.it