Lembrando Kevin Mitnick: mestre da engenharia social

Kevin Mitnick é uma figura icônica no mundo da segurança de computadores. Ele é conhecido tanto por seus notórios ataques cibernéticos nas décadas de 1980 e 1990 quanto por sua transformação em um respeitado consultor de segurança. Muitas vezes apelidado de "o hacker mais famoso do mundo", ele atraiu a atenção mundial não apenas por sua capacidade de violar sistemas altamente protegidos, mas também pela controvérsia e pelo mistério que cercam sua vida e suas atividades.

Sua invasão não autorizada de sistemas em empresas como Nokia, Motorola e Sun Microsystems revelou grandes vulnerabilidades e provocou um intenso debate sobre segurança e privacidade de sistemas de computador. Após sua prisão e condenação, ele reinventou sua carreira. Usou seu conhecimento e experiência para ajudar as organizações a se defenderem contra as ameaças que ele mesmo representava. Sua carreira oferece uma perspectiva única sobre a evolução da segurança de computadores e ressalta a importância de compreender e mitigar as ameaças cibernéticas.

Hoje faz um ano de sua morte e este artigo explora sua vida, suas atividades mais notórias, sua prisão e subsequente transição para a segurança cibernética, bem como seu legado e contribuições para a prática da segurança cibernética.

O início

Mitnick nasceu em agosto de 1963 em Van Nuys, Califórnia. Desde cedo, sua fascinação por sistemas de computador, telecomunicações e seu interesse por truques de mágica marcaram o início de sua extraordinária jornada. Criado por uma mãe trabalhadora, ele demonstrou uma curiosidade inata e uma capacidade excepcional de resolver problemas por conta própria. Aos doze anos de idade, descobriu como viajar de graça pela região de Los Angeles decifrando o padrão único das passagens de ônibus e aprendendo a manipulá-las a seu favor. Sua capacidade de observar e deduzir permitiu que ele obtivesse e personalizasse bilhetes em branco nas caixas dos terminais de ônibus, enquanto sua memória excepcional o ajudava a lembrar os horários dos ônibus em toda a cidade. Paralelamente, seu fascínio pela magia lhe ensinou o prazer de adquirir conhecimento secreto e dominar novas habilidades, demonstrando assim sua persistência e criatividade para encontrar soluções engenhosas para problemas complexos. A ilusão e a manipulação da percepção humana o fascinavam, o que se refletiu em sua abordagem à intrusão de sistemas: ver além do óbvio e explorar possibilidades ocultas.

Durante o ensino médio, Kevin teve seu primeiro contato com o que mais tarde se tornaria conhecido como engenharia social por meio de um hobby conhecido como "phreaking telefônico". Esse tipo de hacking permitiu que ele explorasse o sistema telefônico e os funcionários da companhia telefônica. Um colega de escola lhe mostrou alguns truques, como obter informações sobre qualquer cliente da companhia telefônica e fazer chamadas de longa distância sem nenhum custo. Na realidade, essas chamadas tinham um custo, só que eram cobradas das contas de empresas desavisadas. Intrigado e empolgado, ele mergulhou nesse mundo. Seus colegas "phone phreakers" o ensinaram a fazer chamadas de pretexto para a companhia telefônica, usando linguagem e procedimentos que os faziam parecer confiáveis. Não demorou muito para que Mitnick começasse a fazer essas chamadas por conta própria, aprimorando suas habilidades e superando seus primeiros mentores.

Um de seus passatempos favoritos no ensino médio era invadir a central telefônica e alterar o serviço telefônico de outros "phreakers" para fazer parecer que estavam ligando de um telefone público. Essa brincadeira fazia com que eles recebessem uma mensagem pedindo que depositassem uma moeda quando tentassem fazer uma ligação, como se estivessem usando um telefone público.

Mitnick ficou obcecado por todos os aspectos do sistema telefônico, incluindo eletrônicos, switches, computadores, organização corporativa, procedimentos e terminologia. Seu conhecimento superava o de muitos funcionários de empresas telefônicas. Quando adolescente, ele desenvolveu suas habilidades de engenharia social a ponto de conseguir convencer a maioria dos funcionários da companhia telefônica a fazer quase tudo, pessoalmente ou por telefone.

Aos 16 anos de idade, o autodenominado "Ghost in the Wires" fez seu primeiro acesso não autorizado a um sistema de computador ao invadir a rede de sua escola. Esse evento marcou o início de sua incursão na exploração de sistemas de computador, motivada principalmente pela curiosidade e pelo desejo de entender a estrutura e o funcionamento dessas redes, bem como de conhecer as possíveis vulnerabilidades que poderiam existir nelas.

Ele estudou ciência da computação no Computer Learning Center, em Los Angeles. Em poucos meses, o administrador de sistemas da escola descobriu que Mitnick havia encontrado uma vulnerabilidade no sistema operacional e obtido privilégios administrativos totais em seu minicomputador IBM. Os principais especialistas em informática da instituição não conseguiam descobrir como ele havia conseguido isso. Em um dos primeiros exemplos de "contratar o hacker", foi oferecida a ele uma opção: fazer um projeto de honra para melhorar a segurança do computador da escola ou ser suspenso por se infiltrar no sistema. Ele optou por fazer o projeto de honra e acabou se formando com louvor.

Suas transgressões tecnológicas mais notáveis

Ele empregou uma variedade de técnicas inovadoras para sua época, incluindo engenharia social, exploração de vulnerabilidades técnicas por meio do uso de software de penetração avançado e a capacidade de manipular protocolos de segurança complexos. Ele conseguiu violar a segurança de algumas das empresas mencionadas abaixo. Seus métodos refletiam um profundo conhecimento dos sistemas de computador e uma capacidade excepcional de contornar as defesas cibernéticas, estabelecendo um precedente na evolução da segurança cibernética.

Invasão do Pacific Bell COSMOS (1981): junto com dois amigos, eles entraram fisicamente nos escritórios COSMOS da Pacific Bell. Essa invasão permitiu que eles obtivessem chaves de segurança, combinações de portas e manuais de sistemas, com valor estimado em aproximadamente US$ 200.000. Esse incidente marcou o início de suas atividades criminosas significativas.

Access to NORAD (1982): Usando um modem, ele acessou ilegalmente o sistema do NORAD (North American Air Defense Command) no Colorado. Antes de entrar, ele manipulou o programa que rastreava as chamadas, desviando o rastro de sua conexão. Esse evento demonstrou sua capacidade de contornar sistemas de segurança avançados.

Intrusão na ARPANET e no Pentágono (1983): durante seu período como estudante na Universidade do Sul da Califórnia, Mitnick tentou acessar ilegalmente a ARPAnet e o computador do Pentágono. Esse incidente resultou em sua prisão e condenação a seis meses de prisão juvenil, marcando um dos primeiros casos documentados de violações de segurança de computadores de alto impacto.

MCI e Digital Equipment Corporation (1988): Juntamente com seu sócio Lenny DiCicco, eles executaram um plano elaborado para se infiltrar nos sistemas da MCI Communications e da Digital Equipment Corporation (DEC). Eles monitoraram os e-mails do departamento de segurança de ambas as empresas para obter informações sobre seus sistemas de segurança. Conseguiram obter 16 códigos de segurança da MCI e tiveram acesso ao laboratório de pesquisa da DEC, Easynet, em busca do sistema operacional VMS. Esse incidente provocou uma caça ao homem internacional e o FBI interveio para prender Mitnick, que foi acusado de causar danos no valor de quatro milhões de dólares.

Intrusão no computador de Tsutomu Shimomura (1994-1995): Um dos episódios mais notórios foi a invasão do computador de Tsutomu Shimomura, um especialista em segurança do San Diego Supercomputer Center. Durante essa invasão, ele obteve um software usado para controlar telefones celulares, bem como várias ferramentas de segurança da Internet. Shimomura, ao tomar conhecimento do ataque, lançou uma caçada pessoal para capturá-lo e trabalhou em conjunto com as autoridades até ser preso.

Prisão e condenação

Em uma operação coordenada com o FBI, Shimomura chegou a Raleigh e recebeu uma ligação urgente da InterNex, um provedor de Internet da Califórnia. O relatório era alarmante: Mitnick havia penetrado em seu sistema, manipulando contas e alterando senhas de segurança. Usando uma antena de localização de frequência celular, o equipamento estava rastreando secretamente o sinal do telefone celular de Mitnick, mesmo quando ele não estava em uso. Esse dispositivo permitia que o telefone atuasse como um transmissor sem o conhecimento do usuário. Enquanto isso, ele continuou sua invasão, alterando senhas e criando novas contas em sistemas importantes, como InterNex, The Well e Netcom. Com a operação de rastreamento em andamento, o FBI, Shimomura e a equipe da Sprint se prepararam para a prisão. Shimomura tentou alertar discretamente o gerente da Netcom sobre a prisão iminente, mas um mal-entendido levou o gerente a excluir provas, forçando o FBI a agir rapidamente.

Em uma operação coordenada com o FBI, Shimomura chegou a Raleigh e recebeu uma ligação urgente da InterNex, um provedor de Internet da Califórnia. O relatório era alarmante: Mitnick havia penetrado em seu sistema, manipulando contas e alterando senhas de segurança. Usando uma antena de localização de frequência celular, o equipamento estava rastreando secretamente o sinal do telefone celular de Mitnick, mesmo quando ele não estava em uso. Esse dispositivo permitia que o telefone atuasse como um transmissor sem o conhecimento do usuário. Enquanto isso, ele continuou sua invasão, alterando senhas e criando novas contas em sistemas importantes, como InterNex, The Well e Netcom. Com a operação de rastreamento em andamento, o FBI, Shimomura e a equipe da Sprint se prepararam para a prisão. Shimomura tentou alertar discretamente o gerente da Netcom sobre a prisão iminente, mas um mal-entendido levou o gerente a excluir provas, forçando o FBI a agir rapidamente.

Durante seu período na prisão, ele enfrentou condições severas e controversas. Isolado por longos períodos de tempo, sofreu restrições rigorosas de comunicação e atividades sociais devido à sua reputação em segurança de computadores. Essa situação não só afetou seu bem-estar emocional e mental, mas também levantou preocupações sobre seus direitos constitucionais. No entanto, ele usou o tempo para estudar e se educar, especialmente em questões de segurança cibernética, demonstrando dedicação consistente apesar das circunstâncias difíceis.

O movimento "Free Kevin", que surgiu durante sua prisão, buscou aumentar a conscientização sobre as condições de Mitnick e desafiar as restrições impostas. Ele atraiu uma atenção significativa da mídia e o apoio da comunidade de tecnologia, destacando debates sobre ética na segurança de computadores e direitos individuais na era digital.

Transição para a segurança de TI

Sua libertação ocorreu em janeiro de 2000, após quase 5 anos de prisão. Logo depois, ele compareceu ao Congresso dos Estados Unidos para propor o início de um debate sobre uma legislação que garantisse a segurança e a confiabilidade futuras dos sistemas de informação usados pelo governo federal. Para isso, ele disse que estava "pronto, disposto e capaz de ajudar" e ofereceu seus 20 anos de experiência e conhecimento. Em um discurso curto, mas poderoso, ele declarou: "As empresas gastam milhões de dólares em firewalls, criptografia e dispositivos de acesso seguro, mas é um dinheiro desperdiçado porque nenhuma dessas medidas aborda o elo mais fraco da cadeia de segurança, que são as pessoas que usam, gerenciam, operam e são responsáveis pelos sistemas de computador que contêm informações protegidas", dando início à sua carreira como consultor de segurança cibernética.

Em 2003, Mitnick tornou-se CEO da Mitnick Security Consulting LLC, uma empresa que fornece uma ampla gama de serviços de segurança para avaliar os controles de segurança técnicos, operacionais e de gerenciamento de seus clientes. Sua equipe, conhecida como The Global Ghost Team, garante que a segurança de seus clientes seja consistente com as práticas recomendadas do setor, mas também pode colocá-la à prova. Atualmente, a Mitnick Security é uma das principais fornecedoras globais de treinamento e serviços de segurança da informação para governos, organizações e empresas em todo o mundo.

Além disso, desde 2008, ele é membro de vários conselhos consultivos de organizações públicas e privadas. Em novembro de 2011, ele se juntou à KnowBe4 como Chief Hacking Officer e coproprietário.

Contribuições para a comunidade de segurança de TI

Convencido de que os anos de experiência haviam lhe proporcionado um nível de sabedoria que precisava ser compartilhado, ele decidiu começar a escrever. Seu objetivo era que as pessoas que lessem seus livros pudessem usá-los para se proteger das técnicas que ele havia usado no passado. Para conseguir isso, ele uniu forças com o escritor William L. Simon, que o acompanhou na maioria de suas publicações, ajudando-o a captar as ideias e a tornar cada publicação educativa e divertida para o leitor.

Seu primeiro livro, The Art of Deception: Controlling the Human Element of Security, foi publicado em 2001. Ele explora a necessidade de entender como o fator humano pode ser o elo mais fraco na cadeia de segurança da informação. Ele fornece exemplos fictícios de como as técnicas de engenharia social podem ser aplicadas em diferentes cenários para obter informações. Porém, o mais importante é que ele também oferece conselhos sobre como evitar ser vítima de tais técnicas. Este livro é uma demonstração clara da frase "É preciso um ladrão para pegar um ladrão". Com um prefácio de Steve Wozniak que apresenta Mitnick como um guia crucial no campo da segurança cibernética, ele é certamente uma leitura obrigatória para qualquer pessoa que esteja começando no caminho da engenharia social.

Depois, em 2005, ele publicou The Art of Intrusion: The real stories behind the Exploits of Hackers, Intruders & Deceivers (As histórias reais por trás das explorações de hackers, intrusos e enganadores). Esse livro procura contar as histórias reais de hackers e seus métodos de penetração em sistemas de segurança, fornecendo lições cruciais sobre defesa cibernética. Nas palavras do próprio Mitnick, "Queríamos escrever um livro que fosse ao mesmo tempo um thriller policial e um guia revelador para ajudar as empresas a proteger suas valiosas informações e recursos de computação". Assim como em sua edição anterior, ele oferece partes educacionais únicas de cada capítulo para fornecer ao leitor uma compreensão clara e detalhada de um conceito técnico específico ou de um método usado em hacking ou engenharia social, com suas respectivas contramedidas.

Em 2011, ele lançou sua autobiografia, Ghost in the Wires, que detalha sua vida, fuga e captura. É uma história de intriga e suspense que destaca a criatividade e a persistência de Mitnick e oferece uma visão sobre a importância da segurança de computadores.

Por fim, em 2017, ele publicou The Art of Invisibility (A arte da invisibilidade), que tem como objetivo alcançar os cidadãos comuns, aqueles que talvez não tenham tanta experiência quanto as pessoas que treinam ou trabalham no campo da segurança cibernética. Ele oferece estratégias práticas para proteger a privacidade on-line e evitar a vigilância digital na era moderna.

Kevin Mitnick, também conhecido como "Condor", visitou nosso país em 2005. Ele foi o principal orador do Congresso Regional de Gerenciamento de Segurança realizado em Buenos Aires. Ele falou sobre a necessidade de levar em conta a engenharia social como um risco de segurança para as empresas. Mas nosso país não foi o único, ele se tornou palestrante e conferencista em grandes eventos em todo o mundo e para empresas de renome mundial.

Muitos de seus artigos e notícias podem ser encontrados atualmente no site da Mitnick Security Consulting.

Lições aprendidas e práticas recomendadas.

Ao longo de sua carreira, Kevin Mitnick forneceu lições valiosas e práticas fundamentais no campo da segurança de computadores. Seu conhecimento é altamente valorizado por aqueles que buscam fortalecer suas defesas.

Mas quais são os conselhos mais importantes que ele deixou para trás? É importante ressaltar que ele escreveu não apenas para gerenciar a segurança dos sistemas de grandes empresas, mas também para os cidadãos em suas vidas diárias.

Se as práticas recomendadas precisarem ser aplicadas no ambiente profissional, algumas delas incluem: conscientizar seus usuários sobre táticas de phishing e engenharia social, manter um inventário atualizado dos dispositivos na rede corporativa, usar um gerenciador de senhas em toda a empresa, manter as estações de trabalho e os servidores internos e externos corrigidos e atualizados (sem esquecer firewalls, roteadores e dispositivos de IoT), entre outras.

Para o público em geral, há conselhos comportamentais disponíveis no site da Mitnick Security, incluindo: não reutilize senhas, mantenha-as complexas, use autenticação multifator e tenha cuidado com redes Wi-Fi públicas.

Isso também nos lembra dos quatro princípios básicos da engenharia social:

 • Todos nós queremos ajudar.
 • A primeira atitude é sempre de confiança em relação ao outro.
 • Não gostamos de dizer não.
 • Todos nós gostamos de ser elogiados.

E ele compartilha suas principais dicas sobre engenharia social:

 • Autoridade: as pessoas tendem a obedecer às figuras de autoridade sem questionar.

 • Compaixão: As pessoas costumam ser mais propensas a ajudar se forem atraídas emocionalmente.

 • Curiosidade: a curiosidade humana pode levar as pessoas a divulgar informações confidenciais ou realizar ações não autorizadas.

 • Confiança: criar um relacionamento de confiança com alguém pode facilitar o acesso a informações valiosas.

 • Necessidade de aprovação: muitas pessoas buscam a aprovação dos outros e podem ser manipuladas por meio de elogios ou falsa validação.

 • Urgência: criar uma situação de urgência pode fazer com que as pessoas ajam rapidamente sem o devido questionamento.

 • Ignorância: aproveitar-se da falta de conhecimento ou conscientização dos procedimentos de segurança para enganar as pessoas.

 • Intimidação: uso de intimidação ou ameaça para forçar alguém a tomar medidas ou divulgar informações.

Legado e reflexão final

Kevin Mitnick deixou um legado profundo na comunidade de segurança cibernética. Nascido com uma curiosidade insaciável e um talento inato para a observação detalhada, ele combinou essas qualidades com uma memória prodigiosa e uma determinação incansável para dominar praticamente qualquer dispositivo de computação. Motivado por sua sede de conhecimento, ele foi além das tecnologias que dominava em seus anos de estudante, sempre buscando ampliar seus horizontes. Ele demonstrou como os aspectos humanos costumam ser o elo mais fraco da cadeia de segurança, realizando feitos impensáveis ao se passar por outra pessoa usando o telefone. Seus livros, como "The Art of Deception" e "Ghost in the Wires", educaram gerações sobre táticas de engenharia social e métodos para mitigar riscos na era digital.

Seu impacto na percepção pública evoluiu de ser visto como um criminoso de computador para ser respeitado como um especialista em defesa cibernética. Por meio de palestras, consultoria e textos, ele continua a influenciar a forma como as organizações e os indivíduos abordam a segurança em um mundo digital cada vez mais complexo e ameaçador. Ele foi um pioneiro que transformou desafios em lições e cativou com sua incansável busca por conhecimento. Ele continuará a inspirar todos aqueles que se dedicam à segurança cibernética em direção a uma sociedade e sistemas de informação mais robustos e conscientes, mesmo um ano após sua partida.