10 anni dopo il suo epico hack su MySpace, Samy Kamkar sta cercando di trasformare gli hacker in eroi

Questa immagine è stata rimossa per motivi legali.

Samy Kamkar è in una stanza buia al Bally's Casino di Las Vegas; la stanza è illuminata da luci blu e dal bagliore degli schermi dei laptop. Un DJ fa girare musica senza testi mentre gli hacker siedono a tavole rotonde a intermittenza codificando e chattando. Questa è la "chill-out room" designata al DEFCON, la convention annuale di hacking, ma Kamkar non si sente rilassato al momento. Si sta preparando a fare una presentazione a migliaia di colleghi hacker su come "rubare automobili in modalità wireless" e sta ancora dando gli ultimi ritocchi al suo PowerPoint.

"Ho presentato l'idea per questo discorso mesi fa, ma ho lavorato solo per questo nelle ultime due settimane", spiega. Kamkar, 29 anni, sapeva che gli organizzatori della conferenza avrebbero scelto un discorso sull'hacking delle auto, ed era così sicuro che avrebbe trovato un difetto di sicurezza che ha proposto il discorso prima di trovarne uno. E aveva ragione; nel mese prima della conferenza, ha costruito un dispositivo in grado di sbloccare in modalità wireless le auto delle persone.

"Questo difetto di sicurezza è noto da 20 anni. Ecco perché abbiamo quei token RSA con codici che durano solo pochi secondi", afferma. "Ma è necessaria una buona demo per l'industria automobilistica per prenderla sul serio."

Kamkar può sembrare eccessivamente fiducioso nelle sue capacità di hacking. Ma ha una storia a sostegno della sua spavalderia. Nel 2005, quando aveva 19 anni, ha trovato una falla nel codice di MySpace che gli permetteva di costringere qualsiasi visitatore del suo profilo a diventare automaticamente suo amico e inserire una riga di testo sui loro profili che diceva: "samy è il mio eroe". È stato anche in grado di iniettare il codice nei profili MySpace di altri utenti per replicare il virus. Nel giro di 20 ore, il conteggio del suo amico è balzato da 73 a oltre un milione, e l'intera rete era fuori di testa per il "worm Samy". MySpace alla fine dovette andare offline per correggere la vulnerabilità.

"Non avevo mai scritto un virus prima", dice ora Kamkar. "Non avevo idea di quanto velocemente si sarebbe diffuso."

Come risultato del worm Samy, l'account MySpace di Kamkar è stato eliminato. Sei mesi dopo, dopo averlo messo sotto sorveglianza online e fisica, i servizi segreti hanno fatto irruzione nella sua casa e nel suo ufficio. È stato accusato di manomissione del computer e ha raggiunto un patteggiamento con i pubblici ministeri, accettando di non toccare un computer per tre anni.

"È stato difficile per la prima settimana, ma ci sono riuscito. La cosa più difficile è stata non avere accesso a Google Maps", dice Kamkar. "In realtà è stato un bene per me. Ho letto libri. Mi ha reso più socievole. Prima ero timido e più antisociale".

Kamkar ha continuato a lavorare nella tecnologia anche quando è stato bandito dal lavorare con i computer, come capo dell'ingegneria della start-up che aveva co-fondato a 17 anni, un servizio VoIP per le imprese chiamato Fonality. Non poteva toccare una tastiera, ma poteva gestire ingegneri che potevano. Subito dopo la revoca del divieto, però, nel 2010, ha lasciato l'azienda, bruciato dalla vita di start-up.

Dice che la sua condanna penale per crimine non lo ha ferito nel mondo del lavoro, anche se ha dovuto convincere il Grande Fratello / Grande Sorella a ignorare il suo divieto di condannati per reati per lasciarlo fare da mentore a un giovane di Los Angeles interessato ai computer. Ha deciso di rimanere indipendente, concentrandosi sulla ricerca sulla sicurezza e sulla consulenza ingegneristica. E ha avviato un canale YouTube in cui pubblica una popolare serie di video geniali, mostrando agli spettatori come hackerare serrature a combinazione, droni e automobili.

"I suoi video sono così personali, sono come tutorial di trucco fai-da-te", afferma Andrew Crocker, un avvocato della Electronic Frontier Foundation che lavora con gli hacker, incluso Kamkar, per aiutarli a rivelare le vulnerabilità alle aziende senza avere problemi. "Incarna la gioia dell'hacker senza essere subdolo o malizioso."

I video di Kamkar, insieme al suo passato di hacker di MySpace, gli hanno conferito uno status d'élite all'interno della comunità degli hacker. Quando Kamkar ha visitato l'area "DEFCON kids" per parlare della stampa 3D di uno strumento che rompe i lucchetti a combinazione principale, un dodicenne si è avvicinato a Kamkar per chiedere il suo autografo, dicendo che guarda tutti i video di Kamkar.

"È una cripto rock star", ha commentato uno degli organizzatori del DEFCON. "Non l'ho mai visto prima."

Anni dopo la sua fase timida, Kamkar non è più lo stereotipato hacker disadattato, come il goffo Elliot Alderson visto in Mr. Robot negli Stati Uniti  . È socievole, estroverso e senza cappuccio. Al DEFCON, indossava jeans scuri, scarpe da ginnastica Converse in pelle rosse e una t-shirt sbiadita "Blood, Sweat & Gears". Attorno al collo, indossa una catena con un minuscolo circuito stampato.

"È un drive-by USB", spiega. Quando lo collega a un'unità USB, il computer pensa che sia una tastiera, che i computer accettano sempre senza autenticazione. "Digita i comandi in pochi secondi, e poi ho una backdoor nel loro Macbook a tempo indeterminato", dice Kamkar.

Le aziende ignoravano gli hacker che scoprivano problemi di sicurezza nei loro prodotti o li minacciavano di azioni legali sperando che se ne andassero. Ma dopo gli attacchi di alto profilo di Target, Home Depot, Sony Pictures e altre grandi aziende, la sicurezza è diventata una preoccupazione principale. E hacker dal cappello bianco come Kamkar, che comprendono gli exploit della sicurezza e possono aiutare le aziende a correggerli prima che sia troppo tardi, sono diventati le stelle di un'industria multimiliardaria.

I "cypher punk" che lavoravano nell'IT di giorno e si occupavano di progetti di sicurezza collaterali vengono ora reclutati pesantemente da grandi aziende tecnologiche e società di sicurezza informatica. I difetti che segnalano vengono scritti dai giornalisti, risolti dalle aziende e affrontati dai legislatori preoccupati per l'impatto economico dei prodotti insicuri. Le abilità dell'hackster-imbroglione ora sono considerate incredibilmente preziose.

"Sempre più aziende hanno contatti di pubblica sicurezza e programmi di bug bounty", afferma Kamkar. "Incoraggiano la ricerca sulla sicurezza purché non danneggi né loro né i loro utenti e potrebbero persino pagarti per trovare problemi".

(Non tutte le aziende adottano un approccio così aperto nei confronti degli hacker. Il capo della sicurezza di Oracle si è recentemente lamentato in un post ora cancellato su persone che guardano il codice dell'azienda per i difetti, mentre aziende come GM e John Deere stanno cercando di utilizzare la legge sul toccando il loro software proprietario.)

Kamkar è un hacker di hacker, un abile programmatore che può impressionare gli esperti di tecnologia con le tecniche coinvolte nel suo ultimo hack, ma anche abbattere la posta in gioco con estro e dramma per il grande pubblico.

"Samy sembra avere una straordinaria capacità di rompere tutto ciò che tocca", afferma Mikko Hypponen, un noto esperto di sicurezza informatica. "La sua ricerca è importante perché non si concentra solo sull'hacking dei computer, ma su tutto il resto."

A volte, i suoi hack fanno luce su gravi vulnerabilità. (Ha fatto notizia  nel 2010 per "evercookie", un tracker di zombie che ha creato che potrebbe ricrearsi sul disco rigido di qualcuno anche dopo aver cancellato i cookie.) Altre volte, sono solo per divertimento. Una sera, a cena, ha ricordato che, da single sui vent'anni, ha approfittato di una vulnerabilità di cross-scripting su un popolare sito di appuntamenti per testare A / B i suoi messaggi alle donne. Ha inviato due versioni del suo messaggio a migliaia di utenti donne per vedere quale funzionava meglio. La vulnerabilità, di cui non ha mai parlato al sito di appuntamenti, gli ha permesso di vedere se avevano aperto i suoi messaggi o meno.

"Ho molti più appuntamenti", ha detto dell'exploit. "Ma l'hacking è stato più divertente delle date."

Kamkar dice di essersi appassionato all'hacking a 10 anni, non appena ha ottenuto un computer.

"Il mio primo giorno con esso, sono entrato in un canale IRC e qualcuno mi ha detto di uscire o altro." Non l'ho fatto e poi il mio computer si è bloccato ", dice. "Ero terrorizzato e affascinato. Se potessero farlo, potrei farlo io."

Viveva in un minuscolo appartamento a LA, con sua madre, che lavorava sempre cercando di tenerli a galla, dice. Kamkar ha trascorso molto tempo sul suo computer e ha iniziato a hackerare giochi, postando software cheat per il suo preferito, Counterstrike.  Il software era abbastanza impressionante che una società di giochi di San Diego lo chiamò e gli offrì un lavoro. Così, a 16 anni, lasciò il liceo e si trasferì in una nuova città.

"Quando sono arrivato, la società si è resa conto di quanto fossi giovane e ha detto che non erano sicuri che fosse legale assumermi", dice. Ha detto loro che andava bene perché aveva un permesso di lavoro dalla sua scuola. Il modulo è stato forgiato, sulla base di un modello che ha trovato online. Ha anche preparato documenti di emancipazione dall'aspetto ufficiale, in modo che, da minorenne, potesse firmare contratti per un appartamento e un telefono.

Nel 2000, quando aveva 14 anni, Kamkar è andato al suo primo DEFCON; la conferenza si tiene ogni anno a Las Vegas dall'inizio degli anni '90. Descrive la sua prima di tante visite al DEFCON come "pazza". "Il mio cellulare non funzionava perché qualcuno si stava bloccando", dice. "I partecipanti hanno rubato un carrello da golf e l'hanno portato in piscina, che avevano tinto di viola. Hanno preso il controllo dei televisori. Ho visto una donna in topless per la prima volta. Di persona, cioè."

DEFCON è molto più docile in questi giorni, grazie in parte al mainstreaming della tecnologia di sicurezza. La conferenza del fine settimana attira ora 19.000 partecipanti, molti dei quali provenienti da grandi aziende tecnologiche e società di sicurezza informatica con conti di spesa. Facebook sponsorizza una festa al Wynn Casino, così come Rapid 7, una grande azienda di sicurezza informatica recentemente diventata pubblica. In questi giorni, il problema più grande causato dai partecipanti al DEFCON è disturbare le frequenze radio locali, inondarle con un linguaggio vile per l'angoscia degli operatori radioamatori e scattare foto ai partecipanti senza permesso: un enorme no-no per il gruppo attento alla privacy . "Mi ha ricordato di andare a vedere una prozia in supporto vitale", si è lamentato un partecipante su Twitter.

Al DEFCON di quest'anno, la presentazione più attesa è stata quella dei venerati ricercatori di sicurezza Charlie Miller e Chris Valasek, che hanno dimostrato che Chrysler aveva una vulnerabilità nel suo sistema wi-fi UConnect che ha permesso loro di hackerare una Jeep da lontano, facendo esplodere la musica dell'auto, accendendo i tergicristalli e avvitando con la velocità dell'auto. Kamkar ha scelto di fare un discorso sull'hackeraggio di auto in parte a causa di Miller, che è una specie di hacker-eroe per lui.

"Sono anni che compie imprese folli", dice Kamkar. "Prima del suo lavoro, non avevo idea che le auto fossero collegate a così tante cose".

I preminenti hacker di automobili hanno ammirato Kamkar, dicendo che la sua presentazione è stata l'unica (oltre la loro) a cui hanno partecipato al DEFCON.

"L'hacking è divertente", dice Kamkar. "È un puzzle. È una sensazione così bella quando si risolve qualcosa che non doveva essere risolto. Quando qualcosa funziona, salto in piedi e faccio un ballo per 10 minuti. È una sensazione che inseguo".

Kamkar è abile nel trasmettere il divertimento dell'hacking, sottolineandone la serietà. Dopo aver scoperto che molti garage, compreso quello nel suo condominio di Los Angeles, possono essere aperti inviando loro un "codice fisso", ha riprogrammato un giocattolo di messaggistica portatile rosa della Mattel per eseguire un attacco di forza bruta sul codice di una porta del garage che potrebbe rompersi entro 8 secondi. Ha chiamato il dispositivo "OpenSesame" e lo ha annunciato il mese prima della conferenza sul suo canale YouTube .

La presa in giro di Kamkar ha funzionato. Migliaia di hacker hanno riempito l'enorme stanza in cui ha tenuto il suo discorso davanti al logo DEFCON: una faccina sorridente e le ossa incrociate.

Questa immagine è stata rimossa per motivi legali.

Ma il momento clou del discorso di Kamkar è stato il "RollJam", un dispositivo che ha costruito per circa $ 30 in parti, che può sbloccare molti tipi diversi di auto da remoto. La maggior parte dei portachiavi senza distanza delle auto utilizza un sistema "rolling code" per comunicare con le auto, in modo che ogni codice inviato dal telecomando all'auto sia unico. Ma il suo dispositivo di rilevamento a radiofrequenza intercetta il "codice mobile" e blocca l'auto per impedirlo. Quando il telecomando di una persona non funziona, preme di nuovo il pulsante, inviando un secondo codice che il suo dispositivo intercetta. Quindi riproduce il primo segnale per far scattare le serrature, ma si trova sul secondo codice da utilizzare in seguito.

Kamkar immagina che un ladro di automobili possa piantare un dispositivo simile a RollJam sotto l'auto di un bersaglio e poi introdurlo ogni volta che vuole. Sta rilasciando il codice per RollJam online, ma sarà interrotto, manca una riga. "I criminali non saranno in grado di usarlo, ma un ricercatore di sicurezza potrebbe", dice. "Se i criminali mai diventassero high-tech, siamo fottuti."

Dice che sta già accadendo, indicando un cast di notizie di marzo, "I ladri ora usano un misterioso dispositivo elettronico per sbloccare, irrompere nelle auto ".

"Spero che questo cambi il futuro della sicurezza delle chiavi delle auto", afferma Kamkar.

Dopo il suo discorso, Kamkar si è spostato sul lato della stanza sorseggiando una lattina gialla di Rock Star Energy, per parlare con i partecipanti. Un vigile del fuoco si avvicinò a lui, chiedendogli se poteva lavorare con lui per usare l'apriporta del garage quando combatteva gli incendi domestici. Li salverebbe dal dover sfondare la porta di qualcuno. "Non sono sicuro della legalità di questo", ha detto.

Poi due partecipanti che lavoravano nella sicurezza presso un'azienda automobilistica lo hanno avvicinato per dirgli che gli piacevano i suoi discorsi e adoravano i suoi video.

"La mia e-mail è esplosa a causa della tua ricerca sul portachiavi", dice uno.

Dicono che il suo lavoro renda il loro lavoro più difficile, ma che la sua abilità nell'attirare l'attenzione dei media significa che i loro superiori se ne accorgono e danno loro più risorse per sostenere la sicurezza.

In altre parole, i ragazzi della sicurezza automobilistica vogliono aiutare Kamkar ad hackerarli. Gli suggeriscono di controllare un particolare spettro wireless utilizzato da un'azienda automobilistica per rilevare eventuali vulnerabilità e consigliare uno strumento che può utilizzare per leggere i segnali provenienti dai motori. ("Ragazzi, mi avete appena risparmiato ore di ricerca", dice Kamkar.)

C'è un circolo virtuoso nell'hacking. Porta fuori di testa, ma sembra essere l'unica cosa che convince le aziende a fare sul serio a spendere soldi per la sicurezza. Con i suoi semplici tutorial e l'enfasi sugli strumenti poco costosi che utilizza, Kamkar sta cercando di rendere il più facile ed economico possibile per altre persone entrare nell'hacking per aumentare la pressione sulle aziende per migliorare le loro merci.

Più tardi, al telefono, Kamkar dice: "Quello che mi piace del mio lavoro è rendere le persone e le aziende più consapevoli di questi problemi. Spero che porti a esperienze migliori per utenti e consumatori".

Poi, come per distillare il suo messaggio per un osservatore laico, aggiunge: "Chiunque può entrare nell'auto di mia madre. Non è bello".

Suggested posts

Il video trapelato mostra Donald Trump che fa commenti disgustosamente sbalorditivi sulle donne

Il video trapelato mostra Donald Trump che fa commenti disgustosamente sbalorditivi sulle donne

Questa immagine è stata rimossa per motivi legali: in un video e audio del 2005, recentemente scoperti e pubblicati venerdì dal Washington Post e dalla NBC News, Donald Trump parla delle donne in termini incredibilmente vili e misogini, anche per lui.

Madonna interrompe il concerto per pronunciare un discorso in lacrime sul massacro di Parigi

Madonna interrompe il concerto per pronunciare un discorso in lacrime sul massacro di Parigi

Un giorno dopo il sanguinoso massacro di Parigi, Madonna ha tenuto un concerto a Stoccolma, in Svezia, un concerto che dice di aver quasi cancellato. Ma anche se Madonna ha scelto di esibirsi, ha messo in pausa il suo spettacolo per pronunciare un discorso in lacrime in ricordo di coloro che avevano perso la vita di recente.

Related posts

La Commissione per la soppressione degli elettori di Trump fa una richiesta agghiacciante a tutti i 50 Stati

La Commissione per la soppressione degli elettori di Trump fa una richiesta agghiacciante a tutti i 50 Stati

Questa immagine è stata rimossa per motivi legali. I sostenitori dei diritti di voto che temono che la "Commissione per l'integrità elettorale" del presidente Trump sia uno stratagemma sottilmente camuffato per attuare una massiccia soppressione degli elettori in America saranno allarmati da una lettera che l'amministrazione ha inviato ai funzionari elettorali in tutto afferma ieri.

Uber sta affrontando un numero impressionante di cause legali

Uber sta affrontando un numero impressionante di cause legali

Questa immagine è stata rimossa per motivi legali.L'anno scorso sono state intentate 50 azioni legali contro Uber negli Stati Uniti.

Rimani connesso durante un'interruzione di corrente con questo UPS scontato

Rimani connesso durante un'interruzione di corrente con questo UPS scontato

Oggi solo per il Cyber ​​Monday, Amazon offre questo UPS CyberPower da 900 watt/1500 volt per soli 120 dollari, o circa 60-100 dollari in meno rispetto al suo prezzo normale. Se si utilizza un computer desktop, questo ovviamente manterrà la macchina in funzione senza qualsiasi interruzione in caso di interruzione di corrente, il che significa che non perderai alcun lavoro non salvato.

Ecco il tuo biglietto in classe economica per 802.11ac Wireless

Ecco il tuo biglietto in classe economica per 802.11ac Wireless

Non è il router più veloce o più potente sul mercato, ma se sei alla ricerca di un router 802.11ac e hai un budget limitato, questo modello TP-Link ben recensito è oggi ridotto a $ 50 su Amazon.

MORE COOL STUFF

Elvis Presley una volta si è intrufolato in un negozio di animali dopo ore e ha comprato 15 cuccioli: "Era come 101 dalmata"

Elvis Presley una volta si è intrufolato in un negozio di animali dopo ore e ha comprato 15 cuccioli: "Era come 101 dalmata"

Il successo di Elvis Presley gli ha permesso di fare cose che altri non potevano, come comprare cuccioli di un intero negozio di animali.

La vendita di Maya Vander di Sunset ha deluso la trama bloccata al dramma di Peter Cornell – e non un bene immobile (esclusivo)

La vendita di Maya Vander di Sunset ha deluso la trama bloccata al dramma di Peter Cornell – e non un bene immobile (esclusivo)

Maya Vander desiderava che il dramma della quarta stagione di "Selling Sunset" fosse più incentrato sul settore immobiliare anziché su Emma, ​​Christine e Peter Cornell.

Prova il nostro mini cruciverba

Prova il nostro mini cruciverba

Aggiornato settimanalmente, il nostro mini cruciverba combina le nostre letture HowStuffWorks preferite con indizi intelligenti!

Quale funziona meglio: cialde per bucato, detersivi in ​​polvere o liquidi?

Quale funziona meglio: cialde per bucato, detersivi in ​​polvere o liquidi?

Fare il bucato è già abbastanza brutto senza doversi preoccupare di scegliere il detersivo giusto. Quindi qual è il migliore? O ha anche importanza?

La vera storia del popolo blu del Kentucky

La vera storia del popolo blu del Kentucky

Le famiglie Fugates e Combs nel Kentucky rurale hanno perso la lotteria genetica, condividendo entrambe un raro tratto recessivo che ha reso la loro pelle blu quando si sono sposati. Qual è stata la causa di ciò? E cosa è successo alle famiglie?

La "nascita vergine" del condor californiano potrebbe salvare la specie?

La "nascita vergine" del condor californiano potrebbe salvare la specie?

Due pulcini maschi senza padre vengono allevati in un programma per salvare il condor della California dall'estinzione. Come sono possibili tali nascite "vergini"?

La figlia Kulture di Cardi B e Offset mostra bellissime nuove trecce su Instagram

La figlia Kulture di Cardi B e Offset mostra bellissime nuove trecce su Instagram

La figlia di 3 anni di Cardi B e Offset, Kulture, ha mostrato la sua nuova acconciatura intrecciata su Instagram.

Selena Gomez dà a Cara Delevingne un bacio sulla guancia per Kiss Cam al Knicks Game

Selena Gomez dà a Cara Delevingne un bacio sulla guancia per Kiss Cam al Knicks Game

"È così divertente ed è estremamente avventurosa", ha detto in precedenza Selena Gomez dell'amica Cara Delevingne

Madonna beve Gin dalla bottiglia nella sua palestra: "L'allenamento di oggi"

Madonna beve Gin dalla bottiglia nella sua palestra: "L'allenamento di oggi"

La cantante ha deciso di cambiare la sua routine di fitness giovedì

Jamie Dornan dice di aver perso il ruolo di Superman con Henry Cavill e si è avvicinato alla Marvel per un ruolo da supereroe

Jamie Dornan dice di aver perso il ruolo di Superman con Henry Cavill e si è avvicinato alla Marvel per un ruolo da supereroe

Jamie Dornan ha rivelato di aver fatto il provino per il ruolo di Superman ma ha perso contro Henry Cavill; e ha parlato con la Marvel dell'adesione all'MCU.

Le nuove balene degli investitori di Ethereum che si tuffano nella DeFi lo stanno spingendo più in alto

Le nuove balene degli investitori di Ethereum che si tuffano nella DeFi lo stanno spingendo più in alto

ETH è salito alle stelle, guidato da un mix di visione tecnologica a lungo termine e uso fondamentale e sentimento a breve termine.Non c'è dubbio che il mercato Crypto sia caldo in questo momento ed è stato così negli ultimi mesi. Ethereum è salito alle stelle grazie alla forte domanda di DeFi, ai prossimi miglioramenti tecnologici e al potenziale a lungo termine.

Sono bianco all'esterno, ma nero in tutto e per tutto.

Sono bianco all'esterno, ma nero in tutto e per tutto.

Gli "oreo" sono quelli che la mia famiglia chiamava i neri che tradivano il colore della loro pelle. Erano quelli che potevano sembrare neri all'esterno ma le cui azioni mostravano che erano bianchi all'interno.

Il devastante bombardamento alleato di Dresda durante la seconda guerra mondiale

La polemica storica continua ancora

Il devastante bombardamento alleato di Dresda durante la seconda guerra mondiale

Il bombardamento alleato di Dresda del 13-15 febbraio 1945 Il 13 febbraio 1945, 245 bombardieri Lancaster quadrimotori del Gruppo №5 della Royal Air Force (RAF) decollarono dall'Inghilterra. Il loro obiettivo era la storica città di Dresda, situata nella Germania orientale, all'epoca popolata da 630.000 abitanti, con una stima di 100.000 rifugiati.

Consumare oltre 1 miliardo di messaggi Kafka al giorno in Ifood

Consumare oltre 1 miliardo di messaggi Kafka al giorno in Ifood

Questa è la seconda parte di una serie di post sul blog che mostrano come stiamo evolvendo l'architettura di Ifood nel team dei profili utente. Quindi, ti consiglio di leggere il primo post qui.

Language