[ --- The Bug! Magazine _____ _ ___ _ /__ \ |__ ___ / __\_ _ __ _ / \ / /\/ '_ \ / _ \ /__\// | | |/ _` |/ / / / | | | | __/ / \/ \ |_| | (_| /\_/ \/ |_| |_|\___| \_____/\__,_|\__, \/ |___/ [ M . A . G . A . Z . I . N . E ] [ Numero 0x02 <---> Edicao 0x01 <---> Artigo 0x01 ] .> 14 de Fevereiro de 2007, .> The Bug! Magazine < staff [at] thebugmagazine [dot] org > +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ The Bug! Magazine entrevista: Phiber Optik +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ .> 12 de Fevereiro de 2007, .> The Bug! Magazine < staff [at] thebugmagazine [dot] org > Mais uma vez a magazine vem com um entrevistado de peso. Se na primeira edicao entrevistamos tbob, da cena hacker underground atual, desta vez tivemos o pra- zer de entrevistar um hacker internacional antigo, o lendario Phiber Optik, um dos mais famosos de todos os tempos, o que nos faz pensar onde estavamos com a cabeca quando chegamos a cogitar em entrevistar Derneval Cunha para uma das nossas edicoes. Gostariamos de mandar um sincero "obrigado" ao Phiber por colaborar com a nossa revista e mostrar o seu ponto de vista sobre alguns assuntos. PS: The english version can be found in the end of the translated one. (*) Versao traduzida (portugues) The Bug!: Como e quando comecou seu interesse na cena phreak e hacker e quando voce teve o seu primeiro contato com ela? Phiber Optik: Bem, minhas primeiras experiencias foram na epoca quando eu pro- curava pessoas com os mesmos interesses comuns em computadores que eu tinha, para trocar ideias sobre programacao. Eu descobri as BBSes e pessoas que discutiam coisas como troca de senhas. Essas senhas eram geralmente para contas em sistemas de faculda- des. Eu sempre fui interessado em telefones e como eles funcio- navam antes mesmo de ter um computador. Nessas BBSes eu encontrei arquivos de texto que pessoas do "underground" haviam escritos sobre phreaking, blue boxing e esse tipo de coisa. TB!: Mas como voce conseguia pagar suas contas telefonicas? Phiber: No comeco eu ligava para BBSes locais, e a partir delas eu descobri outras mais distantes, ate' mesmo em outros estados. Para evitar contas altas eu descobri os "calling cards" mas no comeco eu nao podia usa-los porque eu nao tinha um telefone de teclas, entao eu comprei um telefone de teclas (touch-tone). E' engracado lembrar sobre essas ligacoes para outros estados, uma vez que hoje nos EUA elas sao inclusas no seu servico, praticamente de graca. Naquela epoca elas eram absurdamente caras e voce tinha que conseguir alguma maneira de se comunicar com pessoas em sistemas de BBSes distantes. TB!: Voce acha que a industria de seguranca e a comunidade hacker mudou desde os Masters of Deception e a epoca de ouro do hacking? Phiber: Bem, lembre-se que quando nos eramos mais novos nao existia nenhuma industria de seguranca da informacao. O unico trabalho de seguranca era feito internamente pelo governo, principalmente os militares. Nao havia uma industria de seguranca da informacao, corporativamente falando. Sobre as mudancas na cena hacker, nao ha' comparacao. Nos viviamos em um tempo que, a principio, hacking era legal. Quando ele se tornou ilegal, a maioria das pessoas sequer foram pegas, porque nao havia investigacao a menos que hacking fosse utilizado para cometer crimes de verdade, e so' entao o FBI se envolveria. Mas nunca tivemos nada com pessoas que cometiam crimes. Lembre-se que hacking era legal ate 1986 nos EUA. As pessoas de hoje nunca irao sa- ber como era. Ser capaz de hackear qualquer coisa que voce pudesse imaginar e ninguem iria te incomodar por isso. Voce poderia se desafiar todos os dias com algo mais interessante. Tambem vale lembrar que na epoca nos tinhamos computadores simples que eram conectados as nossas TVs. Sem janelas, sem mouse, nada disso. Quando encontravamos essas maquinas grandes e poderosas para acessar, nos queriamos aprender Unix e todos os sistemas operacionais da epoca que nao existem mais. Era completamente impossivel, por exemplo, rodar um servidor Unix em sua casa. Era insano ate' mesmo imaginar. Era um mundo diferente do de hoje. Hoje e' possivel fazer todas essas coisas sem correr nenhum risco. Na epoca era um tremendo risco se quisesemos aprender como usar esses sistemas. TB!: E como voce ve o hacking em 10 ou 20 anos? Pode fazer alguma previsao? Phiber: Se voce se refere ao hacking underground, eu o vejo desaparecido por completo. O governo dos EUA considera hacking como terrorismo. O gover- no esta' fora de controle e, enquanto hacking for considerado como ter- rorismo, eu vejo que as pessoas nao irao se arriscar. TB!: Mas voce nao concorda que enquanto houver tecnologia haverao hackers? Phiber: Com certeza, mas hacking sera' somente pessoas fazendo experimentos com seu proprio hardware e nao com o de outras pessoas. E ate' nisso o go- verno daqui tem tentado, varias vezes, tornar ilegal a pratica de enge- nharia reversa em um produto, ate' mesmo aquele que e' seu. Se eles ga- nharem, vai ser ilegal querer saber como alguns produtos funcionam, ate' mesmo se voce os comprar legitimamente. Eles estao insanos. TB!: Gracas a Deus que nao temos essas leis no Brasil :) Phiber: Voces irao ter assim que grandes empresas comecarem a reclamar com o governo. Assim como a Telefonica bloqueou o acesso ao YouTube. Se eles fizeram isso, sao capazes de qualquer coisa. Voces tem tido mais sorte ate' agora, somente isso. O governo daqui e' bem mais paranoico acerca de tecnologia. TB!: A cena hacker esta' voltando para o "non-disclosure". O que voce acha dis- so? Phiber: Ha' varios lugares onde as pessoas discutem vulnerabilidades. Sites, listas, etc. Nao vejo nenhuma mudanca. Com certeza ha' cada vez menos pessoas postando exploits e provavelmente isso e' bom. Se voce nao consegue explorar alguma coisa mesmo com a descricao com- pleta da falha, voce e' um idiota. Alem do mais, a maioria das pessoas que usam exploits os usam para causar problemas. TB!: Na sua opiniao por que a cena phreak tem diminuido nos ultimos 15 anos? Sera' que os entusiastas em tecnologia nao estao mais interessados em telefones? Phiber: As pessoas ja' nao estao mais interessadas. E as que estao podem ter seu proprio PBX em casa, usando Asterisk. Novamente, as pessoas que tem seu proprio equipamento em casa nao tem motivo para se arriscar em ten- tar invadir os sistemas de "switching" de alguem. No meu tempo nao ti- nhamos essas opcoes. TB!: Vamos la', confesse que e' legal invadir switches alheios :) Phiber: Nos entramos em mais switches de companhias telefonicas do que qualquer um no passado e provavelmente mais do que qualquer pessoa ou grupo ira' entrar. Mas nos faziamos isso para aprender como o sistema telefonico funcionava. Hoje um moleque pode ter seu switch VoIP em casa e ate' mesmo comecar sua empresa de telefonia se ele quiser. E' um mundo dife- rente. TB!: Todo mundo sabe que ambientes VoIP vem sendo alvejados ja' ha' alguns anos. Em sua opiniao a exploracao de VoIP e' a tendencia futura do phreak- ing? Phiber: Sim, com certeza ha' uma grande area para exploracao em VoIP. Ja' houveram alguns casos de fraude, pelo menos um bem conhecido, onde um cara revendia minutos de ligacao roubadas e ganhava lucro de 100%. A maioria das empresas de VoIP tem uma pessima seguranca, como qualquer outra, e em alguns casos ate' mesmo pior. TB!: Como voce sente que o hacking tem a capacidade de influenciar sua persona- lidade e a sua vida diaria? Por falar nisso, o que voce esta' fazendo hoje em dia? Phiber: Bem, hacking afeta minha vida diaria porque eu sou pago para fazer consultoria de seguranca. E' meu emprego. TB!: Voce poderia compartilhar conosco algumas das experiencias memoraveis que voce teve com hacking/phreaking? Phiber: Provavelmente uma das maiores diversoes que eu tive foi com blueboxing em meados dos anos 80. Eu fiz uma bluebox num "breadboard" e a soldei diretamente `a parte onde fala do telefone. Eu gastava horas por dia ligando para o pais inteiro procurando por "trunks" que pudessem ser explorados, usando um mapa dos codigos de area que vinham com a lista telefonica. Diziam que na epoca ja' nao era mais possivel fazer blue box, simplesmente porque pararam de falar sobre. TB!: Ambos sabemos que hackers e a midia tem sido inimigos ha' decadas. Qual e' sua opiniao sobre jornalistas como John Markoff e o livro que Joshua Quit- tner e Michelle Slatalla escreveram sobre o MOD? Phiber: Sinceramente eu ligaria menos para Markoff. Ele e' irresponsavel e se auto-promove. Na verdade eu fiz varias amizades com jornalistas na epo- ca. Enquanto eu ganhei alguma publicidade negativa, ganhei bastante pu- blicidade positiva. Quando eu fui indiciado, o governo fez uma grande conferencia para a imprensa em um predio federal. Jornalistas de toda a cidade foram convidados. Na noite anterior eu estava dando uma palestra sobre a historia das telecomunicacoes em uma faculdade em Manhattan. Um amigo da NBC me entrevistou e me falou que haveria essa conferencia no dia seguinte, entao liguei para todos os meus amigos. Nos sabiamos do nosso indiciamento antes mesmo de qualquer um, porque o governo disse `a midia e a midia me contou. O governo subestimou a minha relacao com a midia. Muitos jornalistas vieram ate' mim pedindo desculpas, desejan- do sorte. Eles realmente se sentiram mal por causa daquilo tudo que estava acontecendo. Muitos jornalistas se tornaram amigos antes do julgamento e nao acreditavam no que o governo alegava. Era tudo exagero e mentiras. Alguns de nos contamos a Josh algumas historias sobre o que fizemos. Algumas dessas historias sao contadas no livro mas eu acho que os even- tos foram simplificados e ele terminou contando a historia de uma ma- neira para vender mais livros. O governo e a midia negativa estava cha- mando os eventos de "a guerra hacker", e entao ele fez a historia se parecer com isso, porque ficaria mais facil assimilar e a tornaria mais popular. Isso foi ridiculo e irresponsavel. TB!: Voce ainda tem algum relacionamento com os membros antigos do MOD? Phiber: Ainda tenho contato com John (Corrupt) e Eli (Acid Phreak). TB!: Voce tem alguma prova que Chris Goggans (Erik Bloodaxe do Legion of Doom), delatou o MOD e outros hackers `a policia? Phiber: Prova? Ele admitiu publicamente mais de uma vez. E' de conhecimento publico, sem nenhum misterio. Anteriormente ele chegou ate' a pedir desculpas por ter me incluido, quando na verdade eu tinha pouco a ver com a perturbacao que fizeram a ele[*]. Mesmo assim fui para a prisao por 1 ano e ele ainda ajudou os federais a me colocar la'. [*] John Lee (Corrupt) descobriu o numero da casa de Chris Goggans e passava trotes para ele o dia quase todo. Corrupt tambem invadiu o sistema tele- fonico de 13 estados nos EUA, incluindo o Texas, para grampear os tele- fones da empresa de Bloodaxe, a ComSec, que acabou fechando por causa desse incidente. TB!: Voce concorda que a maioria dos paises precisam reformar suas leis relati- vas a crime des de informatica para diferenciar o hacking criminoso e o hacking curioso e experimental? Phiber: A Holanda costumava a ser assim, assim como varios outros paises, como Alemanha, que acreditam que hacking e' legal se for usado para demons- tracao de falhas. Em lugares como os EUA, onde todo tipo de hacking e' considerado ilegal, seja por curiosidade ou nao. A unica reforma neces- saria e' fazer o governo parar de tratar hackers como terroristas. Pessoas jovens sao naturalmente curiosas e nao deveriam ser punidas por isso. Qualquer um sabe distinguir entre curiosidade e crime, menos o governo, pois seu poder vem do medo. TB!: Esta e' off-topic: Quando o filme "The Urchin" vai finalmente estrear? Phiber: Ele ja' estreou, tecnicamente, e devera' ser mostrado em um pequeno cinema de Manhattan logo logo. Tambem fiquei sabendo que estao ten- tando fazer com que ele passe em um canal de tv a cabo. O filme foi lancado em DVD mas nao sei se ele ja' esta' a venda. TB!: Esta nao e' uma pergunta: Voce esta' convidado a visitiar novamente o Brasil. Iremos fazer outra Phiberfest bebendo Pitu! Phiber: Soa otimo, exceto pela Pitu! Coisa horrivel! Vamos fazer um trato, eu vou visitar mas deixa que eu compro a cachaca, ok? TB!: E para acabar, o que voce falaria para um jovem interessado em se tornar um hacker? Phiber: Eu falaria para eles procurarem qualquer ramo da tecnologia que ele seja bom e persistir nisso, nao importando o que as pessoas digam. Mais importante, sempre estude a evolucao da tecnologia, nao so' os sucessos mas tambem as falhas. Nos nao precisamos mais de pessoas cometendo os mesmos erros das ge- racoes passadas. Ha' historia suficiente em termos de tecnologia para as pessoas aprenderem e fazerem coisas melhores. (*) English version The Bug!: How and when your interest in phreaking and hacking started and when you had your first contact with the scene? Phiber Optik: Well, my earliest experiences were back when I was originally looking for people with the same computer as me, to trade ideas about programming. I discovered BBSes, and found people discus- sing things like trading passwords. At that time, the passwords were mostly accounts to timesharing systems at their schools. I was always interested in telephones and how they worked, even before I had a computer. On those BBSes, I found text files that "underground" people had written, about phreaking, blueboxing, that sort of thing. TB!: But, like, how could you afford all those phone bills? Phiber: At first I called local BBSes, then from there I discovered ones further away, even in other states. To avoid huge bills, I found out about calling cards, but even in the beginning I couldn't use them because we only had rotary-dial phones. So I got a touch-tone phone a while later. It's funny thinking about all the long distance, since now, in the US, long distance is included with your service, practically free. Back then, it was super expensive, so you had to find ways to communicate with people and BBSes and systems far away. TB!: How do you think computer security industry and the hacker community have changed since Masters of Deception and the golden ages of hacking? Phiber: Well, remember, when we were kids there was NO computer security indus- try. The only organized computer security was done internally by the government, mostly military. There was no corporate security industry, at all. It was common to find server on dialup with no passwords at all, and default login names. About the changes on the hacker scene There is no comparison. We lived in a time when, at least at first, hacking was legal. When it became illegal, most people never got caught, because it was never really investigated unless hacking was used to commit real crimes, then the FBI got involved. But we never had anything to do with people like that. Remember, hack- ing was legal until 1986 in the U.S. Kids living today will never know what that's like. Being able to hack into anything you could imagine, and no one would bother you about it. You could challenge yourself everyday with something more interesting. Also, remember this: back then, we had SIMPLE computers connected to our TV sets. No windows, no mouse, nothing like that. When we found these big powerful machines to get access to, we wanted to learn Unix, and all the amazing operating systems that no longer exist. It was completely impossible to, for example, run a Unix server in your house. This was insane to even imagine. It was a different world from today. Today, kids can easily do all these things without any risk at all. Back then, we had to take ENORMOUS personal risk if we wanted to learn how to use these systems. TB!: And how do you see hacking in 10 or 20 years? Can you predict something? Phiber: If you mean underground hacking, I can see it completely disappearing. The U.S. government right now considers hacking to be terrorism. The government is out of control, and as long as hacking can be prose- cuted as terrorism, I can see how people would no longer want to take such a tremendous risk. TB!: But don't you agree while there is technology there will be hackers? Phiber: Sure, but it will only be people experimenting with their own hardware, not trying to get into someone else's. And even then, the government here has tried several times to make it illegal to reverse engineer a product, even one that YOU OWN. If they win, it would be illegal to figure out how certain products work, even if you own them. They're insane. TB!: Thank God we don't have these laws in Brazil :) Phiber: You will, if it starts to happen and huge corporations complain to the government about it. Just like Telefonica blocking access to YouTube. If they can do that there, they're capable of doing anything. You've just been mostly lucky so far. The government here is a lot more paranoid about technology. TB!: The hacker scene is reverting back toward to non-disclosure. What do you think about it? Phiber: There's plenty of places where people discuss vulnerabilities. Sites, mailing lists, etc. I don't see any change. There are less people post- ing exploits, yes. But that's probably a good thing. If you can't exploit something even with a FULL DESCRIPTION of how the vulnerability works, then you're an idiot anyway. Still though, the majority of people who use exploits are troublemakers and not security people. TB!: In your opinion, why the phreak scene had shrunk in the last fifteen years? Aren't technology enthusiasts interested in telephones anymore? Phiber: People just aren't interested anymore. And the ones that are, just run their own PBX at home, like Asterisk. Again, today kids can run their own equipment at home, most of them don't think there's any reason to risk breaking into someone else's switching system. In the old days, we didn't have these options. TB!: Come on, you gotta confess it is nice to own someone else's switching system :) Phiber: We got into more switching systems in more phone companies than anyone ever had, and probably anyone ever will. But we did it to learn about how the telephone network functioned. Today, a kid can run his own VoIP switch at home, even start his own phone company if he was motivated. It's a different world. TB!: Everybody knows VoIP environments have been targeted for a couple of years. In your opinion is VoIP exploitation the future trend of phreaking? Phiber: Yes, there's definitely a huge area for exploration there. Already there have been a few cases of criminal fraud, at least one very large one. A guy was "reselling" stolen VoIP minutes. Since the long distance time was stolen, he was making 100% profit. But he was really stupid, buying big expensive cars, and spending all his illegal profit without even caring to hide it. A really stupid criminal. It was in the news early last year I believe. Many VoIP companies have HORRIBLE security, just like any other compa- ny. In many cases even worse. TB!: How do you feel hacking has the ability to effect upon your personality and everyday life? By the way, what are you up to these days? Phiber: Well, it affects my everyday life because I'm paid as a security pro- fessional. It's my job. TB!: Could you share with us a few memorable experiences you had with hacking/phreaking? Phiber: Probably some of the most fun I had, I can remember was when I was blueboxing in the mid-80's. I had built a bluebox on a breadboard and wired it directly into my phone's mouthpiece. I spent hours everyday calling all over the country looking for trunk- lines I could explore, using the map of area codes in the front of the phone book as a guide. I even got some other people interested in doing it. Many people, even back then, thought that it wasn't possible to bluebox anymore, simply because most people just stopped talking about it. That was so strange. TB!: We both know hackers and the media have been enemies for ages. So what is your opinion about journalists like John Markoff and the book Joshua Quit- tner and Michelle Slatalla wrote about Masters of Deception? Phiber: Honestly, I could care less about Markoff. He's irresponsible and self- serving. Actually, I made so many friends with journalists back then. While I did get some negative publicity, I also got a lot of positive press also. When I was indicted, the government called a huge press conference, at a federal building. Journalists from all over the city were invited. The night before, I was giving a lecture about telecom history at a Manhattan college. A friend from NBC interviewed me, and told me that all the major journalists had been contacted that day that a major hacker indictment would be happening tomorrow. so, I called all my friends. We actually knew about our own indictment before anyone else, because they government told the media and the media told me. But the government underestimated my relationship with the media. Many media people came over to me, apologizing, wishing me well. They hones- tly felt bad about all this trouble. The government were real assholes, I remember. Many of the media people who I became friends with before the indictment didn't believe what the government was saying. It was all exaggeration and bullshit. A few of us spent a lot of time telling Josh stories about things we did. Some of those stories are told in the book. But I think the events them- selves were over-simplified, and he ended up telling it in such a way as to sell more books. The government and the negative media was calling it a "hacker war". So he made it sound like there was a hacker war in the book. Because the notion was popular in the simple minds of the media. If THAT was a hacker war, then hacker wars happen just about every 5 minutes in the undergrou- nd. Young people always get into bitter arguments with each other, whe- ther it's online or in the street. This was no exception. Making it look like a hacker gang war was ridiculous and irresponsible. The government underestimated my relationship with the media. Many media people came over to me, apologizing, wishing me well. They honestly felt bad about all this trouble. The government were real assholes, I remem- ber. Many of the media people who I became friends with before the indictment didn't believe what the government was saying. It was all exaggeration and bullshit. TB!: Do you still have any kind of relationship with former members of MOD? Phiber: I'm still in contact with John and Eli, from time to time. TB!: Do you have any proof that Erik Bloodaxe had narced on MOD and other hackers? Phiber: Proof? He publicly admitted it on more than one occasion. It's public knowledge, no mystery. He later publicly apologized that I was inclu- ded, when I realized that I had very little to do with his so-called "harassment". I still went to prison for a year, and he still contribu- ted to helping the feds put me there. TB!: Do you agree that most countries need computer crime reform in order to differentiate between 'criminal' hacking and 'exploration' hacking? Phiber: Holland used to be this way. There used to be lots of countries that believed hacking was ok if it was to demonstrate. Holland, Germany, places like that. That's mostly changed today, of course. Then you have places like the U.S., where ALL online hacking, whether exploratory or not, is considered highly illegal. The only reform needed is to stop the government from being able to treat hackers as terrorists. Young people are naturally curious, they shouldn't ever be punished for it. Any parent can tell the difference between curiosity and crime. The go- vernment doesn't care about the difference, because their power comes from fear. TB!: This one is off-topic: When the movie "The Urchin" will finally be released? Phiber: It's already released, technically. It's supposed to be shown at a the- atre in Manhattan soon, a small theatre. Also, I was told that they're trying to do a deal to get it shown on cable tv. It was released on DVD but I don't know if it's for sale yet. TB!: This one isn't a question: You're invited to come to visit Brazil again. We're going to make another Phiberfest drinking Pitu! Phiber: Sounds great, except for the Pitu! Horrible stuff! Let's make a deal, I'll come visit, but I'm in charge of buying the cachaca, ok? TB!: And to finish, what would you say to a young kid interested in becoming a hacker? Phiber: I would tell them to find whatever aspect of technology they're good at, and stick with it, no matter what other people say. Most important, always study the evolution of technology, not just the successes, but also the failures. We don't need any more people making the same mistakes as previous generations of people. There's enough history in terms of technology for people to learn from, and make things better.