Kevin D. Mitnick, uno degli hacker più famosi di tutti i tempi, "colpisce" ancora con la sua nuova fatica libraria, che esce oggi, in traduzione italiana, per i tipi della Feltrinelli, con il titolo L'arte dell'intrusione (che richiama il precedente fortunato libro dal titolo "L'arte nell'inganno").

Ancque questa volta il libro ha due livelli, due chiavi di lettura opposte, eppure complementari: da una parte il racconto delle imprese di giovani hacker americani, braccati da Fbi e polizia: per gioco, per divertimento, o per insanziabile curiosità, grazie alla propria capacità informatica, riescono a impadronirsi di password e a entrare illegamente in banche dati di compagnie aeree, dell'amministrazione federale, delle banche, della magistratura americana.

Quando la semplice abilità informatica non è più sufficiente, utilizzano tecniche di social engineering vecchie come il mondo, conquistando con la parola la fiducia degli altri; guardie, bancari, softwaristi, impiegate di albergo ("perché è con la parola che si tolgono le mutande alle donne").

Sono ragazzi autodidatti, senza grandi curriculum accademici alle spalle (perché a 15 anni, forse, sei già vecchio per fare l'hacker), capaci di recuperare i codici per penetrare i telefoni mobili pescando tabulati dai rifiuti di una società dei telefoni, arrestati e messi a scontare pene in carceri americane: proprio quelle con i lavori forzati e con la gente che ti vuole violentare, ma in cui, anche lì, approfittando dell'ignoranza generalizzata in materia di sicurezza informatica, telefonano gratis in tutto il mondo e approfondiscono la loro esperienza informatica.

Dopo essere stati fuorilegge e carcerati, o magari dopo essere stati carcerati per scelte sbagliate della giovinezza e diventati hacker paradossalmente grazie ai Pc della prigione, questi ragazzi diventano consulenti informatici pagati a peso d'oro, manager indispensabili delle grandi società specializzate in sicurezza informatica: è successo allo stesso Mitnick ed è il destino obbligato di moltissimi hacker, come il nostrano Raoul Chiesa; da antisistema si diventa al servizio del sistema, che non può fare a meno di loro.

Mitnick esalta il tipo di hacker che vuole essenzialmente sapere, conoscere, sfidare le macchine e sé stesso, senza danneggiare alcunché e senza cercare di arricchirsi in modo fraudolento. Il "Condor" mette in guardia gli hacker, fin dalle prime pagine del libro, dal cadere vittima di organizzazioni terroristiche, che potrebbero sfruttare e strumentalizzare la loro arte, come è avvenuto negli Usa, pare, per l'attentato dell'11 settembre.

Il libro di Mitnick è, all'opposto, uno straordinario saggio di sicurezza informatica: un manuale chiaro, facile e indispensabile, che nasce da un'esperienza collaudatissima, per proteggere il proprio Pc o il proprio sistema informativo aziendale.

Per esempio, prendendo spunto dall'attacco a una banca estone, in cui gli hacker trovano facilmente all'interno del sistema un dossier, lasciato dalla stessa ditta di consulenza per la sicurezza, Mitnick ci consiglia una serie di misure da adottare.

Sono comunque misure insufficienti, perché risulta più curata la sicurezza fisica che quella informatica: "Controllate tutti gli account dall'ultima volta che è stata definita la password, le password installate sui sistemi o sugli account delle applicazioni non assegnati al personale, i diritti di amministratore non autorizzati, i diritti di gruppo non autorizzati, e il momento dell'ultimo accesso non autorizzato. Questi controlli possono identificare un'infrazione della sicurezza. Cercate le password inserite fuori dall'orario di ufficio perché l'hacker potrebbe non rendersi conto che, cambiando le password, sta lasciando un percorso tracciabile."

Altri consigli: "1) Limitate agli orari di ufficio gli accessi interattivi. 2) Abilitate il monitoraggio degli accessi e delle sconnessioni su tutti i sistemi accessibili dall'esterno, via wireless, connessione telefonica, Internet o Extranet. 3) Impiegate software come SpyCop per rilevare strumenti non autorizzati di registrazione della tastiera. 4) State attenti a installare gli aggiornamenti dei software per la sicurezza. In alcuni ambienti è consigliabile scaricare automaticamente gli ultimi aggiornamenti. Microsoft insiste molto nell'incoraggiare i clienti a configurare in questo senso i propri computer. 5) Controllate la presenza di software per il controllo remoto come WinVNC, TightVNC, Damware e così via, sui sistemi accessibili dall'esterno. Questi programmi, anche se possono essere utilizzati legittimamente, possono anche dare a chi attacca la possibilità di monitorare e sorvegliare sessioni di lavoro autenticate dalla consolle del sistema. 6) Esaminate attentamente tutti gli accessi che usano Window Terminal Services o Citrix Metaframe. La maggior parte degli autori di un attacco tende a scegliere questi servizi per controllare i programmi e ridurre così la possibilità di essere individuati".

Sono molto interessanti anche le cose che Mitnick scrive sulle password, grandi protagoniste del libro, insieme agli hacker che se ne impadroniscono: "Credo fermamente che affidarsi esclusivamente alle password statiche dovrebbe essere una pratica del passato. Bisognerebbe implementare delle forme più forti di autenticazione, facendo ricorso a strumenti "fisici" come gli identificativi a tempo o dei sistemi biometrici affidabili, da usare in combinazione con una password personale forte, cambiata spesso, per proteggere i sistemi che elaborano le informazioni di valore."

"Usare una forma di autenticazione più sicura non garantisce che non possa essere hackerata, ma almeno innalza il livello di difficoltà. Le organizzazioni che continuano a usare solo password statiche hanno bisogno di fare formazione e di dare sollecitazioni o incentivi frequenti che incoraggino alle pratiche sicure con le password. Un regolamento interno efficace sulle password richiede agli utenti di costruire delle password sicure che contengano almeno un numero e un simbolo o un misto di maiuscole e minuscole, e di cambiarle periodicamente".

"Un passo ulteriore vuole che ci si assicuri che i dipendenti non cedano alla "pigrizia della memoria" scrivendo le password e postandole sul loro monitor o nascondendole sotto la tastiera o nel cassetto della scrivania, cioè nei posti in cui un ladro di dati con un minimo di esperiena guarda per primo. Inoltre, una buona pratica di password richiede di non usare mai la stssa password o una simile su più di un sistema".

Scheda
Titolo: L'arte dell'intrusione
Autore: Kevin D. Mitnick, con la collaborazione di William L. Simon
Editore: Feltrinelli
Prezzo: 16,50 euro

Hai a disposizione ancora caratteri. Per inserire commenti più lunghi (e senza CAPTCHA), iscriviti.
Il tuo nome:		La tua email: