22 octubre 2011

Kevin Mitnick - The Art Of Deception (libro)

Hoy quiero hacer la crítica literaria a un libro que NO me he leido: "The art of deception (Controlling the Human Element of Security)" de Kevin Mitnick. Digo en este caso que no me lo he leído, porque realmente lo he disfrutado en otra modalidad: Escuchado en audiolibro. Debido a diferentes viajes que he tenido que hacer, me ha dado tiempo a completar casi entera una de las obras del conocido Mitnick.

He de decir que si el inglés escuchado (en este caso leído por Nick Sullivan y bastante entendible) no se os da mal, es una muy buena opción, si hacéis muchos kilómetros y os toca conducir, por lo que el formato ebook, PDF o el clásico papel no se contempla como una posibilidad viable.

Después de este pequeño offtopic paso a contaros mis impresiones. Mitnick deja claro en esta obra que en las organizaciones, muchas veces da igual cuánto se invierta en dispositivos de seguridad para cumplir normativas o para que los responsables de la información puedan dormir mejor por la noche. Así como las máquinas hacen aquello para lo que han sido diseñadas o programadas, las personas que forman parte de las organizaciones y las empresas, son el punto débil.

¿Por qué? pues porque las personas siguen su instinto, y dependiendo del grado de paranoia con el que hayan sido educados o formados, serán más o menos fáciles de manipular. En el libro (a partir de ahora, aunque haya sido audio), se dan varios ejemplos de situaciones (reales o no, pero podrían serlo perfectamente) por las que un Ingeniero Social, contando con un pequeño hilo del que tirar, con un mínimo de información inicial, generalmente pública, es capaz de "engañar" a una persona aprovechándose de vulnerabilidades intrínsecas a su personalidad. Desde despertar sensaciones como la confianza, el colegueo, la admiración o la falsa sensación de seguridad, entre otras,... llevan a una persona a divulgar información muy valiosa a un completo desconocido. Muchas veces ese desconocido, simula ser un compañero nuevo de otro departamento o simplemente ofrece datos a la persona a engañar que la lleven a pensar que efectivamente, el ingeniero social dice la verdad. Muchas veces el "pedir un favor a un colega" o el "ofrecer un favor a cambio de nada", pueden dar lugar a este tipo de engaños.

A veces, el atacante provoca un problema a la víctima y le llama preguntando si le falla algo en el ordenador, simulando ser el chico nuevo de IT y se ofrece a arreglarlo. Evidentemente a cambio de ello, se hace con su objetivo de obtener una contraseña de un usuario "para probar si desde aquí puedo acceder" o indicarle de dónde ha de descargar un programa que a otros compañeros le ha solucionado el problema y cosas de ese estilo, implicando la instalación de un bonito troyano. 

Por cada "caso o llamada", Mitnick hace un análisis explicando por qué la víctima ha picado y cómo el atacante ha aprovechado un punto débil de una organización, por exposición pública de información interna que podría considerarse inofensiva en un primer momento, y cómo el ingeniero social ha hecho correctamente los deberes, adelantándose a las diferentes respuestas del interlocutor a engañar. Evidentemente, además de saber aprovecharse de la falta de agudeza (por decirlo suavemente) de las víctimas, el ingeniero social ha de tener la destreza suficiente para improvisar, así como el desparpajo y rapidez para llevar a su víctima donde él quiere.

Además, de análisis de cada caso, hay diversos "Mensajes Mitnick" en los que se indica cómo educar y formar a los empleados suficientemente para desconfiar de aquellas llamadas que incluso viniendo de un origen que puede ser real, mitigando los riesgos de dar directamente información sensible, como contraseñas o números de tarjetas de crédito o de la seguridad social a alguien que no se conoce personalmente.

Asimismo, en cada caso se indica el Lingo necesario para cada caso. Es decir, qué palabras clave se han utilizado dependiendo de cada entorno, para dar una mayor sensación de control y crear confianza en la víctima.

La cuarta parte de la obra se parece más a lo que esperamos de un libro de seguridad. Es más una guía de cómo entrenar al personal de nuestra organización, cómo auditar si dicho personal ha sido convenientemente entrenado y evaluar su reacción ante este tipo de ataques, etc, etc,...

El libro en general es bastante ameno y, aunque en ocasiones dices: "Anda ya! cómo va a picar alguien con eso,…" si se piensa fríamente en alguien que no ha recibido esa dosis de perspicacia ante preguntas que provienen de alguien que ya ha generado confianza suficiente, y que inicialmente parecen de lo más normales, puede resultar perfectamente posibles.

No quiero destripároslo más, simplemente puedo decir desde aquí que recomiendo su lectura. En la formación de cualquier persona expuesta a un riesgo por parte de un Ingeniero Social, es decir, todo el mundo, nunca está de más aprender o simplemente recordar conceptos, aunque en muchos de los consejos y situaciones, pensemos que es algo que ya sabemos o que simplemente, no picaríamos.

2 comments :

Braulio Valdivielso dijo...

Es un libro muy entretenido. Me lo encontré de segunda mano por casualidad en una librería perdida en Estados Unidos, verdaderamente fue una sorpresa.

De todas formas, es más ameno el otro libro de este hombre (el de Ghost in the Wires no, el otro) aunque este sea muy bueno. Te hace preguntarte si te han timado alguna vez

Jerónimo dijo...

Hola amigos, por lo visto alguien está traduciendo este libro al español y lo está colgando en este blog:
theartofdeceptiones.blogspot.com
Ya era hora...