Da un pò mi riprometto di scrivere qualcosa sulle fatiche letterarie dell’ex hacker più famoso al mondo (per lo meno nell’ambiente informatico), ovvero l’esperto di sicurezza Kevin Mitnick. Rimando alla sua voce di Wikipedia, al suo sito e alla sua pagina Twitter @kevinmitnick per ulteriori dettagli biografici.
Insomma, negli anni 90, dopo aver passato qualche anno ospite del Governo USA, Mitnick ha pensato bene di far fruttare in modo legale questa sua “passione” per farsi gli affari altrui e ficcare il naso, trasformandosi in esperto di sicurezza, divulgatore e scrittore. Negli anni ha infatti pubblicato tre volumi, L’arte dell’inganno“, “L’arte dell’intrusione” e “Ghost in the wires” (non ancora tradotto in italiano e fresco di stampa).
Qui su Amazon.it i suoi lavori, tradotti in italiano, “L’arte dell’inganno” e “L’arte dell’intrusione“, due volumi dedicati ad illustrare metodi e tecniche di hacking in senso lato, ovvero come attaccare (e difendersi) dagli attacchi al lato debole della protezione delle informazioni: le persone.
Nel primo volume, L’arte dell’inganno, vengono illustrate, anche con un certo dettaglio, alcune tecniche della cosiddetta “ingegneria sociale” o “social engineering”, in inglese: in parole povere si tratta di sapere quali leve e meccanismi psicologici sfruttare per ottenere informazioni, password, dati confidenziali da chi le conosce e non dovrebbe divulgarle. E’ molto chiaro, leggendo il testo, che questo tipo di “hacking” avviene non tanto nel mondo “virtuale” (quello dei computer, dei software e dei loro difetti di programmazione) ma molto più prosaicamente, in quello “reale”. Mitnick illustra quanto sia facile, con uno studio preliminare dell’obiettivo da “colpire”, usare un banale telefono, contattare chi ha le password di accesso a dati riservati e farsele semplicemente dare spacciandosi per qualcun’altro, un collega, un superiore.
Naturalmente non è una cosa alla portata di chiunque, servono doti da attore, saper parlare e convincere, riuscire a cambiare strategia in base a chi si ha di fronte. Doti che non tutti possono avere ma che si possono imparare: soprattutto si possono imparare a conoscere le tattiche e le strategie, in modo da capire quando vengono applicate contro di noi e non “cascarci”.
C’è anche qualche nota autobiografica dell’autore, che riassume anche la propria vicenda personale.
Il secondo volume, L’arte dell’intrusione, illustra alcuni casi reali di hacking, dai videopoker di Las Vegas al furto di informazioni riservate dalle aziende. Casi, insomma, in cui le procedure di sicurezza e le protezioni falliscono, vuoi per l’abilità degli “intrusi” o per debolezze implicite. Vengono anche spiegate in breve le tecniche base dei cosiddetti “penetration testing”, ovvero le “prove del nove” dei sistemi di sicurezza. Si tratta della parte più affascinante della sicurezza informatica, ovvero entrare (virtualmente o a volte fisicamente) all’interno di una struttura o un server protetto per testare l’effettiva validità dei sistemi e dei protocolli di sicurezza, con il permesso dei proprietari ma senza che i tecnici o gli impiegati ne siano a conoscenza. Questo libro si può, maturalmente, leggere separatamente dal precedente, ma una conoscenza anche sommaria delle tecniche illustrate ne “L’arte dell’inganno” può risultare sicuramente utile.
Wolf Of The Moon 