Kevin David Mitnick, l'autore di questo libro, il giorno di Natale del 1994, anziché starsene ad aspettare Babbo Natale o pranzare con i parenti, decide di attaccare il server Sun Solaris di Tsutomu Shimomura, ricercatore al San Diego Supercomputer Center e consulente del governo americano.
Kevin vuole lanciare una sfida al superconsulente del governo, colpevole di aver svelato al Congresso Americano la possibilità di intercettare le comunicazioni cellulari.
Dopo aver visto in TV il discosrso di Shimomura, Kevin vuole assolutamente ottenere il software operante sui telefoni cellulari della Oki (al tempo, uno dei pochi disponibili per intercettare le comunicazioni cellulari).
Il modo più immediato per raggiungere l'obiettivo è proprio quello di violare il servere di ricerca del consulente e scaricare il software, un tipo d'attacco che gli studiosi dell'epoca ritenevano "teoricamente possibile ma non praticamente applicabile".
Ritenevano male.
Mitnick, primo al mondo, dimostrò che era applicabile eccome.
Questo tanto per dirvi la caratura del personaggio. Un tipo che, come ammette nel libro: " Ho ottenuto accesso non autorizzato ai sistemi informatici di alcune delle più grandi aziende del pianeta, e mi sono infiltrato con successo nei sistemi più inaccessibili mai sviluppati. Ho utilizzato metodi tecnologici e non per ottenere il codice sorgente di svariati sistemi operativi e strumenti delle telecomunicazioni, per studiarne la loro vulnerabilità e il funzionamento interno”
Tuttavia anche un Pelè degli smanottoni, un Maradona degli hacker come lui, alla fine ha fatto il passo più lungo della gamba e l'hanno beccato.
Finito nei guai con la legge e costretto a starsene per un certo periodo di tempo lontano dai computer (non esiste peggiore supplizio per certa gente), Mitnick ne è uscito più savio.
Adesso è consulente per la sicurezza in rete, guadagna un sacco di soldi e in questo libro svela l'arte sopraffina degli attacchi informatici.
Attenzione però.
Mitnick non parla di astrusi codici od elaborati linguaggi macchina. No. Mitnick svela tutti i segreti dell'ingegneria sociale.
Di cosa si tratta?
Semplice: si tratta di chiedere.
Chiedere informazioni spacciandosi per qualcun'altro, informazioni che il diretto interessato rivela senza problema perché le ritiene di alcuna importanza. E invece sono fondamentali per degli esperti che poi le sfruttano per fare male.
Questo "non ritenerle di alcuna importanza" è l'anello debole della sicurezza informatica. E se pensate che il problema riguardi solo piccole aziende o singoli utenti (come voi)... be', vi sbagliate di grosso. Sentite qua: "Spesso non ci sofferma a pensare ai materiali che la propria organizzazione mette in rete. Per le mie trasmissioni settimanali su KFI Talk Radio di Los Angeles, il produttore ha fatto una ricerca in rete trovando la copia di un manuale di istruzioni per accedere al database del Centro nazionale informazioni sul crimine, poi ha trovato il manuale vero e proprio, un documento scottante che da ogni informazione su come ricavare informazioni dal database dell’FBI sui reati. Penso che l’FBI non abbia mai scoperto che il suo manuale supersegreto pieno di istruzioni è disponibile a cani e porci in rete, e non credo che sarebbero molto lieti di apprenderlo. Una copia è stata messa in rete da un dicastero locale dell’Oregon, l’altro da una polizia del Texas. Perché? Devono aver pensato che non avesse un valore particolare e che metterlo in rete non recasse danno. Forse l’hanno postato in Internet per utilizzo interno, senza capire che in quel modo le informazioni erano a disposizione di chiunque in Internet avesse accesso a un discreto motore di ricerca come Google, compresi ficcanaso qualsiasi, poliziotti in erba, hacker e boss della malavita organizzata".
Siete sbalorditi? Aspettate di leggere tutta la casistica dettagliata di attacchi possibili, e forse la prossima volta che accederete ad internet un leggero brivido vi stuzzicherà la schiena.
INDICE:
Prima Parte:
-Dietro le quinte.
-L'anello più debole della sicurezza.
Seconda parte:
-L'arte dell'attaccante.
-Quando un'informazione innocua non lo è.
-L'attacco diretto: basta chiedere.
-Costruire la fiducia.
-"Posso aiutarla?"
-"Può aiutarmi?"
-Siti civetta ed allegati pericolosi.
-Sfruttare simpatia, senso di colpa e intimidazione.
-La stangata inversa.
Terza parte:
-Entrare nella struttura.
-Fondere tecnologia ed ingegneria sociale.
-Attacchi al livello più basso.
-Attacchi più elaborati.
-Spionaggio industriale.
Quarta parte:
-Innalzare la sbarra.
-Vademecum per la sicurezza delle informazioni aziendali.
Appendice:
-Sicurezza in breve.
Nessun commento:
Posta un commento