luni, octombrie 20, 2008

Kevin Mitnick

Acum vreo 3 ani, cautand carti despre computere prin magazine, atentia mi-a fost atrasa de un titlu "Arta de a stoarce informatii" carte scrisa de Kevin Mitnick si William L. Simon. Vazusem si filmul "Takedown" asa ca am cumparat-o instant si m-am dus glont acasa sa o citesc.
Dupa parcurgerea cartii ramai uimit de puterea ingineriei sociale, arma folosita cu succes de celebrul hacker.

Parole, firewall-uri, criptari, restrictii, toate metodele ce protejeaza o retea se prabusesc si devin inutile atunci cand o persoana cunoaste si aplica tehnica ingineriei sociale. Kevin Mitnick afirma ca "cea mai slaba veriga a securitatii este factorul uman". Tinand cont de istoria sa suntem obligati sa-i oferim credit.

Practic, daca-ti folosesti inteligenta, cunostintele tehnice si stii cum sa abordezi situatiile, persoanele, reusesti sa obtii mai multe rezultate decat daca folosesti cine stie ce scripturi sau unelte sofisticate. Iti mai trebuie insa ceva: carisma! Urmarind interviurile sale iti poti da seama usor ca Kevin Mitnick avea destula! Prezentabil, zambitor, inteligent, increzator, bun orator, acesta putea manipula usor oamenii. In cartea sa acesta ofera un sfat pe care multi ar trebui sa-l memoreze bine:

"Instruiti-va oamenii sa nu judece o carte doar dupa coperta - doar pentru ca cineva este bine imbracat si ferchezuit, acest lucru nu-l face sa fie mai credibil."
Din pacate (sau din fericire) cei mai multi oameni judeca dupa aparente, dupa ambalaj.

Citind cartea sa iti poti da seama despre cat de vulnerabil poate fi un proaspat angajat, cat de periculos poate fi un fost angajat sau cat te costa angajarea unor persoane credule, naive, sau fara cunostinte temeinice in domeniu.

"Experienta si statistica au aratat clar ca amenintarea cea mai mare pentru firma vine de la cei din interior. Cei din interior, care au cunostinte exacte privind locurile unde se afla informatii valoroase, si stiu exact unde sa loveasca compania pentru a-i provoca cele mai mari pagube."
Cartea descrie mai multe cazuri in care s-a folosit ingineria sociala pentru a obtine date secrete ale companiilor si masuri de preventie. Administratorii de sistem au ce invata din cartea respectiva. Le-o recomand calduros!

Manipularea oamenilor, caci despre asta-i vorba, este arma de baza in ingineria sociala. In carte se mai vorbeste si de o lucrare de cercetare ce prezinta sase tendinte de baza ale naturii umane: autoritatea, simpatia, reciprocitatea, coerenta, validarea sociala si raritatea. Acestea sunt folosite cu succes in ingineria sociala.

Facand o paranteza, probabil ca cea mai lejera solutie de a obtine informatii este plasarea unui om chiar in interiorul companiei. Acesta poate fi un IT-ist fara nume, anonim, sau o tipa draguta, greu de refuzat. Ma rog, nu o sa dezvolt prea mult! Daca m-as ingriji de securitatea unei retele as fi foarte atent la astfel de angajari. Bineinteles ca nu ma refer la vreo retea de cartier sau vreo companie cu 2 angajati.

Nu insist prea mult pe povestea lui Kevin Mitnick. Internet-ul abunda in informatii despre viata acestuia. Este cel mai celebru hacker/cracker. Este de ajuns sa spun ca dupa ce, printre alte infractiuni, a fost acuzat ca a furat date de la Motorola, Novell, Fujitsu, Sun Microsystems si Nokia a fost condamnat la peste 5 ani inchisoare.

Personal mai cred ca, spargand atatea conturi (20.000 de conturi de card-uri au fost gasite in computerul sau), s-a asigurat financiar pentru tot restul vietii insa este destul de inteligent incat sa stie cum sa ascunda acest aspect.

Acum Kevin Mitnick spune ca nu mai este hacker ci "expert in securitate" insa multi stiu cat de fina este granita dintre cele doua "specialitati". Doritorii pot apela la firma sa de securitate.

Parcurgand diversele sfaturi online pretioase pentru protectie nu putem uita, totusi, de pericolul reprezentat de ingineria sociala.






Mitnick Security Consulting
Kevin Mitnick Enters The Pentagon
Hackers: Under the hood
http://en.wikipedia.org/wiki/Kevin_Mitnick
http://www.morehouse.org/hin/blckcrwl/hack/soceng.txt
http://en.wikipedia.org/wiki/Social_engineering_(security)


Ultimele articole