Gothic Legolas
Usuário
A Arte de Enganar
Marcos Machado *
Kevin Mitinick se tornou um ícone de uma geração de hackers que jamais vão esquecer suas façanhas, seus acessos a documentos secretos, seus roubos e suas invasões. Livre da condicional desde janeiro deste ano, Mitnick, até então um dos mais famosos hackers do mundo, responsável por uma das mais exaustivas perseguições do FBI, dono de um currículo em que constam documentos ultra-secretos de empresas de telefonia e códigos-fontes de sistemas operacionais, entre outras coisas, transformou-se em um dos mais requisitados profissionais de segurança do planeta.
Durante sua liberdade condicional, ainda sem poder usar computadores (um amigo lia seus e-mails), o que excluiu quase que totalmente qualquer artefato do mundo moderno, Kevin chamou a atenção para o fato de que não é preciso chips nem tomadas para fazer invasões. É sobre isto que escreve em "A arte de enganar", livro no qual traduz o método mais eficaz para se comprometer a segurança de um sistema de informação: a engenharia social.
Burlar a tecnologia é a palavra de ordem. Ir de encontro a sistemas de centenas de milhares de dólares, com firewall, IDS, criptografia, autenticação forte, etc., para obrigá-lo a fazer o que você quer, pode parecer menos inteligente do que se digirir a um funcionário, quando seu treinamento não custou nem uma fração deste ferramental. Afinal, ele pode acessar todos os dados de que você precisa. Basta saber pedir. Enquanto esteve preso, vários autores contaram a história de Kevin, esmiuçaram sua vida e tentaram explicar sua técnica, mas nenhum deles o fez de forma satisfatória. Mitnick percebeu isto e optou por escrever um livro prático e didático. Para quem esperava um último capítulo para a história de crimes, uma justificativa ou uma réplica, depara-se, em vez disso, com uma extensa lista de golpes, a princípio não relacionados com os que de fato ocorreram em sua "carreira", mas todos muito bem ilustrados e adaptáveis.
Na primeira parte do livro, que se alonga por cerca de dois terços do conteúdo apresentado (o que o torna meio repetitivo), temos o que poderíamos chamar de "o manual do 171 moderno". Diversas histórias contadas sob nomes fictícios relatam, em forma de scripts, o caminho de um engenheiro social em busca de informações. Apesar das tentativas do autor em não dar nomes aos bois, é impossível deixar de perceber a semelhança com histórias do seu próprio passado, como, por exemplo, o fato de ele ter usado escritórios de fotocópias para receber, anonimamente, fax com informações sigilosas enquanto fugia da polícia.
O mais espantoso em todos estes relatos é que, se eles não são todos verdadeiros, poderiam ser. De fato! O que chamaríamos de falta de bom senso ou excesso de confiança, o engenheiro chama de oportunidade única. Em explicações detalhadas (em demasia, até) sobre as trapaças, Kevin deixa claro que não é preciso ter nenhum conhecimento específico além de saber lidar com pessoas. Todo o resto é conseguido na base da conversa. A máxima que diz "a maneira mais fácil de se descobrir uma informação é perguntando" está, em cada parágrafo, sendo jogada na nossa cara. Como em um tutorial, aprendemos a forçar uma resposta para as perguntas mais inusitadas, seja apelando para a benevolência, intimidando ou implorando por ajuda. Vemos técnicas, por exemplo, em que o atacante cria um problema e surge como o melhor amigo da vítima para resolvê-lo. Cria-se um vínculo forte o suficiente para que ela passe a confiar nas suas instruções e, a partir deste ponto, a vítima já não tem mais o controle da situação.
Mecanismos mentais como este estão presentes em todas as pessoas, esperando somente que um bom engenheiro social os ative. As técnicas são simples, semelhantes aos textos encontrados em livros sobre como vender ou negociar. Persuadir, comover, convencer. A diferença é que o engenheiro social não precisa de ética.
Este não é um livro teórico sobre segurança da informação, nem um livro totalmente prático. Seu enredo mistura dicas diluídas nas histórias, algumas delas óbvias, outras que fazem acender uma lâmpada: "Mas é claro, como nunca tinha pensado nisso?". Você realmente se flagra, hora na pele do engenheiro, hora na pele da vítima, tentando se safar daquela situação.
A péssima tradução arranha um pouco o prazer na leitura de suas histórias, obrigando-nos, às vezes, a reler um mesmo parágrafo diversas vezes, até conseguirmos captar a idéia original. Apesar do auxílio do escritor profissional William L. Simon, o texto do livro segue um padrão confuso, devido, em parte, ao modo muito particular de Kevin articular suas idéias. Dono de um raciocínio veloz, muitas vezes nos confunde com trechos atemporais, difíceis de serem concatenados na história. Pode-se notar esta minúcia no livro O Jogo do Fugitivo: em linha com Kevin Mitnick, em que o jornalista Jonathan Littman transcreve horas de conversa telefônica com o hacker, durante sua caçada.
Além dos relatos das fraudes, Mitnick explica seu funcionamento e identifica, em cada história, o ponto fraco usado no ataque. Todos os termos mais técnicos são explicados detalhadamente para que o mais completo leigo em tecnologia de segurança consiga acompanhar a lógica da trapaça.
Isto denota uma preocupação do livro em se adequar ao nível de conhecimento daqueles cuja leitura se faz obrigatória: chefes de departamentos, gerentes de comunicação, de atendimento e de treinamento. É para estes profissionais e para os security officers das grandes empresas que a última parte do livro é dedicada, apresentando um eficiente esqueleto para auxiliar na montagem de uma política contra este tipo de invasão.
Mesmo que sejam tratadas de forma muito introdutória, as questões da segurança corporativa da informação voltadas para o aspecto da engeharia social e, principalmente, a abordagem da política de segurança, tornam o livro único e indispensável na prateleira de qualquer organização. Leitura obrigatória para os profissionais responsáveis por evitar que uma pessoa qualquer pegue o telefone, roube suas informações mais críticas e desapareça incólume.
Na época em que Kevin foi preso, alegou que as autoridades lhe negaram o direito a um telefonema. Mais tarde, brincou, imaginando que os policiais estavam com medo de que ele pudesse lançar algumas ogivas nucleares apenas assobiando ao telefone. Após ler seu livro, você começa a imaginar que talvez estes policiais tivessem razão.
* Marcos Machado é analista de segurança com pós-graduação em redes de computadores e Internet e coordenador do fórum InfoSecurity Task Force ( http://www.istf.com.br/ ).
Fonte: http://informatica.terra.com.br
Marcos Machado *
Kevin Mitinick se tornou um ícone de uma geração de hackers que jamais vão esquecer suas façanhas, seus acessos a documentos secretos, seus roubos e suas invasões. Livre da condicional desde janeiro deste ano, Mitnick, até então um dos mais famosos hackers do mundo, responsável por uma das mais exaustivas perseguições do FBI, dono de um currículo em que constam documentos ultra-secretos de empresas de telefonia e códigos-fontes de sistemas operacionais, entre outras coisas, transformou-se em um dos mais requisitados profissionais de segurança do planeta.
Durante sua liberdade condicional, ainda sem poder usar computadores (um amigo lia seus e-mails), o que excluiu quase que totalmente qualquer artefato do mundo moderno, Kevin chamou a atenção para o fato de que não é preciso chips nem tomadas para fazer invasões. É sobre isto que escreve em "A arte de enganar", livro no qual traduz o método mais eficaz para se comprometer a segurança de um sistema de informação: a engenharia social.
Burlar a tecnologia é a palavra de ordem. Ir de encontro a sistemas de centenas de milhares de dólares, com firewall, IDS, criptografia, autenticação forte, etc., para obrigá-lo a fazer o que você quer, pode parecer menos inteligente do que se digirir a um funcionário, quando seu treinamento não custou nem uma fração deste ferramental. Afinal, ele pode acessar todos os dados de que você precisa. Basta saber pedir. Enquanto esteve preso, vários autores contaram a história de Kevin, esmiuçaram sua vida e tentaram explicar sua técnica, mas nenhum deles o fez de forma satisfatória. Mitnick percebeu isto e optou por escrever um livro prático e didático. Para quem esperava um último capítulo para a história de crimes, uma justificativa ou uma réplica, depara-se, em vez disso, com uma extensa lista de golpes, a princípio não relacionados com os que de fato ocorreram em sua "carreira", mas todos muito bem ilustrados e adaptáveis.
Na primeira parte do livro, que se alonga por cerca de dois terços do conteúdo apresentado (o que o torna meio repetitivo), temos o que poderíamos chamar de "o manual do 171 moderno". Diversas histórias contadas sob nomes fictícios relatam, em forma de scripts, o caminho de um engenheiro social em busca de informações. Apesar das tentativas do autor em não dar nomes aos bois, é impossível deixar de perceber a semelhança com histórias do seu próprio passado, como, por exemplo, o fato de ele ter usado escritórios de fotocópias para receber, anonimamente, fax com informações sigilosas enquanto fugia da polícia.
O mais espantoso em todos estes relatos é que, se eles não são todos verdadeiros, poderiam ser. De fato! O que chamaríamos de falta de bom senso ou excesso de confiança, o engenheiro chama de oportunidade única. Em explicações detalhadas (em demasia, até) sobre as trapaças, Kevin deixa claro que não é preciso ter nenhum conhecimento específico além de saber lidar com pessoas. Todo o resto é conseguido na base da conversa. A máxima que diz "a maneira mais fácil de se descobrir uma informação é perguntando" está, em cada parágrafo, sendo jogada na nossa cara. Como em um tutorial, aprendemos a forçar uma resposta para as perguntas mais inusitadas, seja apelando para a benevolência, intimidando ou implorando por ajuda. Vemos técnicas, por exemplo, em que o atacante cria um problema e surge como o melhor amigo da vítima para resolvê-lo. Cria-se um vínculo forte o suficiente para que ela passe a confiar nas suas instruções e, a partir deste ponto, a vítima já não tem mais o controle da situação.
Mecanismos mentais como este estão presentes em todas as pessoas, esperando somente que um bom engenheiro social os ative. As técnicas são simples, semelhantes aos textos encontrados em livros sobre como vender ou negociar. Persuadir, comover, convencer. A diferença é que o engenheiro social não precisa de ética.
Este não é um livro teórico sobre segurança da informação, nem um livro totalmente prático. Seu enredo mistura dicas diluídas nas histórias, algumas delas óbvias, outras que fazem acender uma lâmpada: "Mas é claro, como nunca tinha pensado nisso?". Você realmente se flagra, hora na pele do engenheiro, hora na pele da vítima, tentando se safar daquela situação.
A péssima tradução arranha um pouco o prazer na leitura de suas histórias, obrigando-nos, às vezes, a reler um mesmo parágrafo diversas vezes, até conseguirmos captar a idéia original. Apesar do auxílio do escritor profissional William L. Simon, o texto do livro segue um padrão confuso, devido, em parte, ao modo muito particular de Kevin articular suas idéias. Dono de um raciocínio veloz, muitas vezes nos confunde com trechos atemporais, difíceis de serem concatenados na história. Pode-se notar esta minúcia no livro O Jogo do Fugitivo: em linha com Kevin Mitnick, em que o jornalista Jonathan Littman transcreve horas de conversa telefônica com o hacker, durante sua caçada.
Além dos relatos das fraudes, Mitnick explica seu funcionamento e identifica, em cada história, o ponto fraco usado no ataque. Todos os termos mais técnicos são explicados detalhadamente para que o mais completo leigo em tecnologia de segurança consiga acompanhar a lógica da trapaça.
Isto denota uma preocupação do livro em se adequar ao nível de conhecimento daqueles cuja leitura se faz obrigatória: chefes de departamentos, gerentes de comunicação, de atendimento e de treinamento. É para estes profissionais e para os security officers das grandes empresas que a última parte do livro é dedicada, apresentando um eficiente esqueleto para auxiliar na montagem de uma política contra este tipo de invasão.
Mesmo que sejam tratadas de forma muito introdutória, as questões da segurança corporativa da informação voltadas para o aspecto da engeharia social e, principalmente, a abordagem da política de segurança, tornam o livro único e indispensável na prateleira de qualquer organização. Leitura obrigatória para os profissionais responsáveis por evitar que uma pessoa qualquer pegue o telefone, roube suas informações mais críticas e desapareça incólume.
Na época em que Kevin foi preso, alegou que as autoridades lhe negaram o direito a um telefonema. Mais tarde, brincou, imaginando que os policiais estavam com medo de que ele pudesse lançar algumas ogivas nucleares apenas assobiando ao telefone. Após ler seu livro, você começa a imaginar que talvez estes policiais tivessem razão.
* Marcos Machado é analista de segurança com pós-graduação em redes de computadores e Internet e coordenador do fórum InfoSecurity Task Force ( http://www.istf.com.br/ ).
Fonte: http://informatica.terra.com.br
