Kevin Mitnick „Sztuka podstępu” – recenzja

Niniejszy wpis jest swoistą recenzją lub bardziej omówieniem książki „Sztuka podstępu” Kevina Mitnicka. Sięgając po tę książkę nie planowałem, że będę pisał o niej, jednakże tematyka „Sztuki…” idealnie pasuje do wiedzy zawartej na mojej stronie, więc nie mogłem się powstrzymać.

Kim jest Kevin Mitnick?

Zacznę może od tego, dlaczego chciałem przeczytać tę książkę. Głównym powodem była intrygująca osoba autora. Kevin Mitnick to prawdopodobnie najbardziej znany haker na świecie, a obecnie tzw. „white hat”, czyli osoba, która pomaga różnym firmom i instytucjom wdrażać procedury bezpieczeństwa oraz bronić się przed atakami hakerskimi. Urodził się on 6 sierpnia 1963 roku w Los Angeles i jak można się domyślać, jego życie wyglądało zupełnie inaczej niż typowego przedstawiciela narodu amerykańskiego. Początki jego drogi hakera napomknięte są w „Sztuce podstępu”, a zapewne w całości ukazane w książce „Duch w sieci” – jago autobiografii wydanej w Polsce w 2012 roku (planuję ją wkrótce przeczytać oraz zrecenzować). Wspomnę tylko, że Kevin zaczął bardzo szybko ujawniać szczególne talenty w manipulowaniu ludźmi oraz obmyślaniu sprytnych oszustw. W szkole średniej kolega pokazał mu tzw. phreaking, czyli łamanie zabezpieczeń sieci telefonicznych. Idealnie trafił w preferencje młodego Mitnicka.

Kevin Mitnick (2010)
autor zdjęcia: Eneas De Troya
źródło: https://commons.wikimedia.org/w/index.php?curid=24677067, CC BY 2.0

Najsłabsze ogniwo

Książka „Sztuka Podstępu” zadaje kłam jednemu z największych stereotypów dotyczących hackingu – haker załatwia wszystko za pośrednictwem kodu pisanego na komputerze. Okazuje się, że hakerem można zostać nie będąc programistą, a nawet prawie nie znając się na komputerach. Podstawa to bycie dobrym socjotechnikiem – czyli posiadanie umiejętności pozwalających przekonywać ludzi do swoich racji.

Autor definiuje socjotechnikę następująco:

Socjotechnika – wywieranie wpływu na ludzi i stosowanie perswazji w celu oszukania ich tak, aby uwierzyli, że socjotechnik jest osobą o sugerowanej przez siebie, a stworzonej na potrzeby manipulacji, tożsamości. Dzięki temu socjotechnik jest w stanie wykorzystać swoich rozmówców, przy dodatkowym (lub nie) użyciu środków technologicznych, do zdobycia poszukiwanych informacji.

Skuteczność socjotechniki doskonale ukazują dane, które usłyszałem podczas prelekcji Piotra Koniecznego z niebezpiecznik.pl (jeżeli interesuje Was tematyka bezpieczeństwa w sieci, to zdecydowanie warto śledzić wspomnianego bloga). Firma Piotra zajmuje się testowaniem procedur bezpieczeństwa w przedsiębiorstwach i instytucjach, które ją do tego wynajmą. Odbywa się to poprzez kontrolowane ataki hakerskie o z góry określonym celu (tzw. testy penetracyjne). Podczas wystąpienia padła następująca statystyka odnośnie przeprowadzonych przez firmę ataków – jeżeli próbowali włamać się za pomocą kodu to skuteczność była rzędu 40% (nie pamięta niestety dokładnych danych). Natomiast jeżeli atakowali za pomocą socjotechniki, to efektywność wzrastała do 100%. Nie ma wątpliwości co (a raczej kto) jest najsłabszym ogniwem w systemach bezpieczeństwa. Podobne wnioski można wysnuć z lektury książki Mitnicka.

Struktura książki

„Sztuka podstępu” ma określoną strukturę, gdzie najpierw opowiadana jest historia pewnego ataku, a następnie opisywane są jego mechanizmy. Osoba obeznana z regułami wpływu społecznego Roberta Cialdiniego, bardzo szybko wychwyci, że wiele technik socjotechnicznych jest na nich oparta. Sam Mitnick o regułach wpływu wspomina dopiero w rozdziale 15. Opisuje on tam krótko każdą z nich i podaje przykłady wykorzystania w podstępach. Rozdział 16 jest szczególnie istotny dla przedsiębiorstw, ponieważ zawiera gotowe zalecenia dotyczące polityki bezpieczeństwa w firmie, schematy klasyfikacji danych ze względu na potrzebę ich ochrony oraz procedury do wdrożenia w firmie w celu obrony przed atakami.

Podsumowanie

Dlaczego warto tę książkę przeczytać:

• jak wspomniałem, większość metod socjotechnicznych opiera się na regułach wpływu Roberta Cialdiniego – dla osób z nimi zapoznanych stanowi ona świetną możliwość wyszukiwania ich w prezentowanych historiach i dzięki temu utrwalanie ich;
• wiele historii z tej książki jest naprawdę fascynująca. Sposoby socjotechników na osiąganie celów, chociaż często naganne moralnie, wzbudzają podziw jeżeli idzie o pomysłowość i kunszt wykonania.
• zawiera niezwykle cenną wiedzę dla firm operujących know-how, narażanych na szpiegostwo technologiczne itp.

Wady książki:

• Mitnick w momencie jej pisania był objęty sądowym zakazem ujawniania szczegółów swojej działalności, dlatego większość zawartych w niej historii jest fikcją;
• nieco „amerykański styl” książki – np. kilka historii dla zobrazowania prostej tezy, która została wyłożona w stylu „kawa na ławę”;
• liczne powtórki informacji (podejrzewam, że jest to celowy zabieg, by utrwalić czytelnikowi pewne rzeczy, ale dla niektórych może być to uciążliwe);

Kogo szczególnie zainteresuje ta książka:

• osoby opracowujące i wdrażające procedury bezpieczeństwa w firmach;
• osoby, które wykorzystują narzędzia socjotechniczne w rozmowach telefonicznych (kopalnia wiedzy dla początkujących headhunterów oraz infobrokerów);
• ludzi chcących poznać warsztat socjotechniczny w celach obronnych (dla tych „z drugiej strony” pewnie też);
• wszystkich zainteresowanych życiem i metodami słynnego hakera;

Podsumowując „Sztuka Podstępu” Kevina Mitnicka to książka warta przeczytania, a dla pewnych grup zawodowych wręcz bezcenna. „Amerykański styl” przekazywania wiedzy może trochę irytować, ale jest on rekompensowany przez niezwykle wysublimowane intrygi socjotechników opisane w książce.

(Gdyby kogoś z czytelników zainteresowała opisywana książka, zachęcam do kupienia jej za pośrednictwem reklam zawartych w niniejszym artykule. Wspomagacie wtedy mojego bloga.)