Kevin Mitnick to hacker, którego można byłoby zakwalifikować do hackerów poprzedniego stulecia. Jego działalność to lata osiemdziesiąte XX w. Celem jego ataków były centrale telefoniczne, serwery poczty głosowej, modemy. W 1988 roku został skazany za przestępstwa komputerowe. Po odbyciu kary przeszedł na jasną stronę mocy, wydał książkę "Sztuka podstępu" i obecnie świadczy usługi związane z zapewnieniem bezpieczeństwa dla firm. W tamtych latach technologia była całkowicie inna niż obecnie. Czy jego historie, dotyczące hackingu, mogą być więc w dzisiejszych czasach przydatne? Zobaczmy.
Właśnie jestem świeżo po lekturze jego książki, wspomnianej wyżej. Na samym początku zaintrygowało mnie hasło przewodnie książki: "łamałem ludzi, nie hasła" - wskazuje ono, że przedmiotem książki nie będzie opis wyrafinowanych technik hackingu, ale coś zupełnie innego. I faktycznie - praktycznie 80% książki to opisy różnych technik inżynierii społecznej, których celem są słabe organizacyjnie elementy firm: nowo przyjęci pracownicy, słabo wyedukowani i przeszkoleni pracownicy departamentów technicznych. Książka przedstawia pewne fikcyjne historie, dialogi (głównie telefoniczne), dzięki którym hacker zdobywa - czasami jednoetapowo, czasami wieloetapowo - cenne informacje firm, które prowadzą go do pożądanych informacji i umożliwiają późniejsze przeprowadzenie docelowego ataku, który sprowadza się do uzyskania dostępu, kradzieży informacji i zatarcia śladów. Jednym razem hacker wykrada tajne listy haseł, uzyskuje dostęp do sieci czy komputerów celem zainstalowania trojanów, uzyskuje dostęp do tokenów, innym razem zdobywa cenne kody źródłowe czy tajne specyfikacje nowo opracowywanych produktów.
W każdej z historii nieodłącznym elementem ataku są ludzie. Dzięki połączeniu kilku technik inżynierii społecznej, sztuki wywierania wpływu, szantażu emocjonalnego, budowania więzi i zaufania, przestępstwa stają się dziecinnie proste. Jeśli ktoś spodziewa się, że pozna dzięki książce tajemną wiedzę hackowania, to się myli. Wszakże książka opisuje pewne techniki, ale są to techniki znane dla średniozaawansowanego użytkownika Linuxa, umiejącego poruszać się po systemie za pomocą wiersza poleceń powłoki, potrafiącego tworzyć średnioskomplikowane, jednowierszowe polecenia. Mówi się o szyfrowaniu, tzw. hashowaniu, używaniu ogólnie dostępnych programów do ataków słownikowych czy ataków siłowych (wyczerpujących). Sam zdziwiłem się dość mocno ponieważ wiele, wiele lat temu jako mało doświadczony hacker testowałem (oczywiście dla celów edukacyjnych) bardziej wyrafinowane techniki związane z przechwytywaniem i zmienianiem pakietów danych, zapychaniem pamięci podręcznych urządzeń, spoofowaniem adresów mac czy IP... Ale o tym w osobnej książce. Tak więc - Kevin Mitnick - moim zdaniem, jawi się w książce bardziej jako wyrafinowany manipulator i socjotechnik niż hacker. Po przeczytaniu kilku historii jako czytelnik zacząłem się nudzić, ponieważ scenariusze ataków nie różnią się jakoś fundamentalnie pomiędzy sobą. Praktycznie zawsze intryga bazuje na rozmowie telefonicznej i oszukaniu człowieka. Poszczególne historie wzbogacone są analizą oszustwa, podpowiedziami w ramkach z definicjami żargonu hakereskiego. Mamy także podpowiedzi dotyczące tego jak firma powinna zabezpieczać się w związku z danym rodzajem ataku. W końcowej części książki mamy przykłady instrukcji i zasad ogólnych dla firm oraz dla wyspecjalizowanych komórek oraz algorytmy postępowania.
Czy te parę dni poświęcone na przeczytanie prawie czterystu stron to czas stracony? Nie, choć książka momentami nudziła. Z pewnością człowiek zaczyna sobie zdawać sprawę, że nie istnieją na świecie hakerzy których znamy z amerykańskich filmów - to jest fikcja.Bardziej zaczynamy sobie zdawać sprawę z głupoty ludzkiej. Być może ilość przykładów i historii przedstawionych w książce jest zbyt duża, ale po takiej ich dozie człowiek zaczyna sobie zdawać sprawę, że najbardziej słabym ogniwem zabezpieczeń każdej z firm mogą być.. ludzie którzy w niej pracują. Polecam lekturę wszystkim ABI, szefom i pracownikom departamentów technicznych i IT, wszystkim menadżerom.