Mitnick 2.0

L'arte dell'intrusione: il sequel dell'arte dell'inganno.



[ZEUS News - www.zeusnews.it - 08-06-2006]

kevin mitnick

Kevin D. Mitnick, uno degli hacker più famosi di tutti i tempi, "colpisce" ancora con la sua nuova fatica libraria, che esce oggi, in traduzione italiana, per i tipi della Feltrinelli, con il titolo L'arte dell'intrusione (che richiama il precedente fortunato libro dal titolo "L'arte nell'inganno").

Ancque questa volta il libro ha due livelli, due chiavi di lettura opposte, eppure complementari: da una parte il racconto delle imprese di giovani hacker americani, braccati da Fbi e polizia: per gioco, per divertimento, o per insanziabile curiosità, grazie alla propria capacità informatica, riescono a impadronirsi di password e a entrare illegamente in banche dati di compagnie aeree, dell'amministrazione federale, delle banche, della magistratura americana.

Quando la semplice abilità informatica non è più sufficiente, utilizzano tecniche di social engineering vecchie come il mondo, conquistando con la parola la fiducia degli altri; guardie, bancari, softwaristi, impiegate di albergo ("perché è con la parola che si tolgono le mutande alle donne").

Sono ragazzi autodidatti, senza grandi curriculum accademici alle spalle (perché a 15 anni, forse, sei già vecchio per fare l'hacker), capaci di recuperare i codici per penetrare i telefoni mobili pescando tabulati dai rifiuti di una società dei telefoni, arrestati e messi a scontare pene in carceri americane: proprio quelle con i lavori forzati e con la gente che ti vuole violentare, ma in cui, anche lì, approfittando dell'ignoranza generalizzata in materia di sicurezza informatica, telefonano gratis in tutto il mondo e approfondiscono la loro esperienza informatica.

Dopo essere stati fuorilegge e carcerati, o magari dopo essere stati carcerati per scelte sbagliate della giovinezza e diventati hacker paradossalmente grazie ai Pc della prigione, questi ragazzi diventano consulenti informatici pagati a peso d'oro, manager indispensabili delle grandi società specializzate in sicurezza informatica: è successo allo stesso Mitnick ed è il destino obbligato di moltissimi hacker, come il nostrano Raoul Chiesa; da antisistema si diventa al servizio del sistema, che non può fare a meno di loro.

Mitnick esalta il tipo di hacker che vuole essenzialmente sapere, conoscere, sfidare le macchine e sé stesso, senza danneggiare alcunché e senza cercare di arricchirsi in modo fraudolento. Il "Condor" mette in guardia gli hacker, fin dalle prime pagine del libro, dal cadere vittima di organizzazioni terroristiche, che potrebbero sfruttare e strumentalizzare la loro arte, come è avvenuto negli Usa, pare, per l'attentato dell'11 settembre.

Il libro di Mitnick è, all'opposto, uno straordinario saggio di sicurezza informatica: un manuale chiaro, facile e indispensabile, che nasce da un'esperienza collaudatissima, per proteggere il proprio Pc o il proprio sistema informativo aziendale.

Per esempio, prendendo spunto dall'attacco a una banca estone, in cui gli hacker trovano facilmente all'interno del sistema un dossier, lasciato dalla stessa ditta di consulenza per la sicurezza, Mitnick ci consiglia una serie di misure da adottare.

Sono comunque misure insufficienti, perché risulta più curata la sicurezza fisica che quella informatica: "Controllate tutti gli account dall'ultima volta che è stata definita la password, le password installate sui sistemi o sugli account delle applicazioni non assegnati al personale, i diritti di amministratore non autorizzati, i diritti di gruppo non autorizzati, e il momento dell'ultimo accesso non autorizzato. Questi controlli possono identificare un'infrazione della sicurezza. Cercate le password inserite fuori dall'orario di ufficio perché l'hacker potrebbe non rendersi conto che, cambiando le password, sta lasciando un percorso tracciabile."

Altri consigli: "1) Limitate agli orari di ufficio gli accessi interattivi. 2) Abilitate il monitoraggio degli accessi e delle sconnessioni su tutti i sistemi accessibili dall'esterno, via wireless, connessione telefonica, Internet o Extranet. 3) Impiegate software come SpyCop per rilevare strumenti non autorizzati di registrazione della tastiera. 4) State attenti a installare gli aggiornamenti dei software per la sicurezza. In alcuni ambienti è consigliabile scaricare automaticamente gli ultimi aggiornamenti. Microsoft insiste molto nell'incoraggiare i clienti a configurare in questo senso i propri computer. 5) Controllate la presenza di software per il controllo remoto come WinVNC, TightVNC, Damware e così via, sui sistemi accessibili dall'esterno. Questi programmi, anche se possono essere utilizzati legittimamente, possono anche dare a chi attacca la possibilità di monitorare e sorvegliare sessioni di lavoro autenticate dalla consolle del sistema. 6) Esaminate attentamente tutti gli accessi che usano Window Terminal Services o Citrix Metaframe. La maggior parte degli autori di un attacco tende a scegliere questi servizi per controllare i programmi e ridurre così la possibilità di essere individuati".

Sono molto interessanti anche le cose che Mitnick scrive sulle password, grandi protagoniste del libro, insieme agli hacker che se ne impadroniscono: "Credo fermamente che affidarsi esclusivamente alle password statiche dovrebbe essere una pratica del passato. Bisognerebbe implementare delle forme più forti di autenticazione, facendo ricorso a strumenti "fisici" come gli identificativi a tempo o dei sistemi biometrici affidabili, da usare in combinazione con una password personale forte, cambiata spesso, per proteggere i sistemi che elaborano le informazioni di valore."

"Usare una forma di autenticazione più sicura non garantisce che non possa essere hackerata, ma almeno innalza il livello di difficoltà. Le organizzazioni che continuano a usare solo password statiche hanno bisogno di fare formazione e di dare sollecitazioni o incentivi frequenti che incoraggino alle pratiche sicure con le password. Un regolamento interno efficace sulle password richiede agli utenti di costruire delle password sicure che contengano almeno un numero e un simbolo o un misto di maiuscole e minuscole, e di cambiarle periodicamente".

"Un passo ulteriore vuole che ci si assicuri che i dipendenti non cedano alla "pigrizia della memoria" scrivendo le password e postandole sul loro monitor o nascondendole sotto la tastiera o nel cassetto della scrivania, cioè nei posti in cui un ladro di dati con un minimo di esperiena guarda per primo. Inoltre, una buona pratica di password richiede di non usare mai la stssa password o una simile su più di un sistema".

Scheda
Titolo: L'arte dell'intrusione
Autore: Kevin D. Mitnick, con la collaborazione di William L. Simon
Editore: Feltrinelli
Prezzo: 16,50 euro

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Pier Luigi Tolardo

Commenti all'articolo (2)

{W3C_Freedom}
sulla maglietta c' scritto chiaramente: "I AM NOT A HACKER, I AM A SECURITY PROFESSIONAL" Kevin David Mitnick, NON si mai vantato di esser un hacker, al contrario per molto tempo stato un CRACKER [img:369a630e3f]http://www.todayifoundout.com/wp-content/uploads/2010/10/saltine-crackers.jpg[/img:369a630e3f] La storia di... Leggi tutto
30-9-2014 01:27

un pozzo di scienza Leggi tutto
13-6-2006 02:44

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Negli ultimi 12 mesi hai danneggiato accidentalmente un oggetto tecnologico portatile? (per esempio smartphone, fotocamera, notebook, tablet, ebook reader)
S, mi caduto a terra.
S, mi caduto in acqua (o ci ho versato dei liquidi).
S, ci ho lasciato giocare un bambino.
S, mi ci sono seduto sopra.
S, mentre lo lanciavo a un amico (o sulla scrivania).
No.

Mostra i risultati (2441 voti)
Settembre 2023
Microsoft, minireattori nucleari per alimentare i datacenter della IA
NFT senza valore, la bolla è scoppiata
X (ex Twitter), tutti gli utenti dovranno pagare
iPhone 15, il connettore USB-C è zoppo
Il bug di Windows che rende velocissimo Esplora File
Lidl, merendine ritirate: invitavano a visitare sito porno
Meta pensa a Instagram e Facebook a pagamento nella UE
Agosto 2023
Chrome, nuova interfaccia: ecco come abilitarla
L'Internet delle brutte Cose
LibreOffice balza dalla versione 7.6 alla 24.2
La scorciatoia che “congela” Gestione Attività
Ford agli utenti: spegnete il Wi-Fi dell'auto
Sony e Universal contro i 78 giri dell'Internet Archive
Meloni decide la nazionalizzazione di TIM
Da Z-Library un'estensione per aggirare i blocchi
Tutti gli Arretrati
Accadde oggi - 29 settembre


web metrics