Titlu: "Arta de a stoarce informații"
Autori: Kevin Mitnick, William Simon
Carte publicată la editura Teora
ISBN: 1-59496-045-3
În ciuda cantității de aplicații software care vă promit o protecție totală a computerului, victimele atacurilor informatice se înmulțesc. Motivul este simplu: vulnerabilitățile componentei umane reprezintă veriga slabă în securitatea informatică.
Cartea abordează această problemă într-un mod foarte convingător, fiindcă autorul ei a fost în tinerețe cel mai înverșunat atacator de rețele informatice, fiind în cele din urmă arestat de FBI ca urmare a intrărilor neautorizate în rețelele unor companii sau agenții guvernamentale americane. Dacă trecem cu vederea traducerea pe alocuri neinspirată și erorile gramaticale relativ frecvente, atunci putem vorbi de o excelentă sursă de informații. Cartea dezvăluie căile prin care se produc atacurile și se încheie cu o parte consistentă de modalități de prevenire a pierderilor determinate de astfel de atacuri.
Dacă sunteți tentat să credeți că numai fraierii sau marile corporații pot fi ținta inginerilor sociali o denumire pretențioasă pentru spioni sau escroci informaționali atunci faceți o eroare care ar putea să vă coste scump. Mitnick ilustrează cu foarte multe exemple metodele de "stoarcere" a informațiilor confidențiale. Majoritatea acestor atacuri au ca element comun faptul că se desfășoară prin telefon, deoarece inginerii sociali își asumă riscul de a se înfățișa la sediul victimei doar dacă miza atacului este foarte mare.
Atacatorii își pregătesc minuțios atacul informându-se asupra modalităților de contactare a persoanelor vulnerabile (noi angajați, angajați cu pregătire tehnică redusă etc.), apoi împrumută identitatea unei persoane din interiorul organizației atacate. De multe ori ei vor încerca să stârnească sentimente de compasiune sau să creeze obligații celor pe care îi vizează. Cine nu și-ar ajuta un coleg care se află într-o situație dificilă: Mi-am uitat parola și te rog să-mi trimiți fișierul acela la care lucrăm ca să pot să lucrez în weekend. Până luni trebuie să predau proiectul șefului și știi cât e de dur.
De ce reușesc multe atacuri de inginerie socială? În primul rând pentru că oamenii sunt excesiv de optimiști, ca să nu spunem naivi. Majoritatea oamenilor sunt înclinați să creadă că lor nu li se poate întâmpla așa ceva. E ceva ce se vede la televizor, se citește în cărți, dar ei nu pot fi înșelați în felul acesta. Și totuși, gândiți-vă: nu ați fost niciodată victima unui inginer social? Nu ați dat niciodată informații despre un coleg de-al dvs., ori despre compania la care lucrați unei persoane despre care ați presupus că este autorizată să obțină acele informații, dar despre care nu știați cu siguranță că este autorizată?
Iată ce spune Mitnick despre modul în care gândim cei mai mulți dintre noi:
Prioritatea fiecăruia la locul de muncă este să termine ce are de lucrat. În aceste condiții de presiune, practicile de securitate ajung adeseori pe locul al doilea și sunt trecute cu vederea sau ignorate. Inginerii sociali se bazează pe acest lucru când își desfășoară atacul.
Dacă asta ar fi singura situație care se interpune în calea comportamentului optim al victimei, ar fi bine. Din păcate...
Cartea este structurată în patru părți. În prima parte, se demonstrează motivul pentru care omul este veriga cea mai slabă a sistemului de securitate.
Arta de a stoarce informații arată cât de vulnerabili suntem cu toții guvern, firme și fiecare din noi personal la intervențiile ingineriei sociale. În această eră a conștientizării importanței securității cheltuim sume enorme pe tehnologie ca să protejăm rețelele noastre de calculatoare și datele. Această carte arată cât este de ușor să fie înșelați cei din "interior" și să fie ocolită protecția tehnologică.
În partea a doua și a treia, Mitnick face o expunere detaliată și exemplificată a metodelor de atac folosite de inginerii sociali. Ultima parte a lucrării este dedicată politicilor de securitate și modalităților prin care angajații pot fi conștientizați asupra riscurilor. De fapt, toată cartea este o pledoarie pentru educarea oamenilor ca fiind cea mai eficientă metodă de prevenirea a pierderilor. Chiar dacă oamenii sunt veriga slabă din cauză că sunt tentați să cedeze presiunilor sentimentale sau pentru că uită sau sunt neglijenți, în egală măsură oamenii sunt și cea mai eficientă barieră în fața atacurilor. Nici un sistem tehnic de protecție nu poate avea flexibilitatea și capacitatea de intuiție pe care o au oamenii.
La final veți găsi un rezumat al modalităților de atac precum și liste de control pentru ameliorarea securității informațiilor. Cele mai multe recomandări sunt corecte și utile, dar unele trebuie adaptate la realitatea românească ori completate cu alte contramăsuri. Datorită vitezei cu care evoluează tehnologia informatică, vechimea de trei ani a cărții face ca anumite aspecte să nu fie riguros actuale. Dacă nu ați suferit pierderi de informații, atunci e cazul să citiți cartea pentru a evita atacurile viitoare. Problema nu este dacă veți fi supus unui atac, ci când se va întâmpla acest lucru. Iar dacă ați fost deja victimă, cartea va oferă șansa de a evita repetarea unor situații neplăcute.
