<<< Mit kíván a felhasználó?XAdES aláírás-típusok >>>

Kevin Mitnick "A megtévesztés művészete" ("The art of deception") című könyvében az informatikai rendszerek biztonsági szempontból talán leggyengébb eleméről, az emberről ír. Példákat mutat rá, hogy hogyan lehet különböző informatikai rendszerekbe olyan módon "betörni", hogy a támadó akár számítógépet sem használ. Mindössze felhívja (például) egy nagyvállalat néhány dolgozóját, udvariasan elbeszélget velük, és apró információmorzsákat csikar ki belőlük a vállalat működésével kapcsolatban. Az így szerzett információkat arra használja fel, hogy a vállalat más dolgozóival szemben már belső embernek, munkatársnak adja ki magát, és tőlük már valóban fontos, bizalmas információkat (például jelszavakat vagy a vállalat ügyfeleivel kapcsolatos adatokat, hitelkártyaszámokat) szerez meg. Olyan értelemben nem informatikai támadásról van szó, hogy a támadáshoz gyakran még számítógépet használ. Ugyanakkor a támadó - a dolgozókkal való ügyes kommunikáció segítségével - a megtámadott szervezet informatikai rendszerét térképezi fel, és annak gyengeségeit használja ki. Az ilyen jellegű támadásokat nevezzük social engineeringnek.

A könyv nem a támadások számítástechnikai részleteiről szól, hanem arról, hogy valaki hogyan, milyen eszközökkel manipulálhat embereket távolról. Van, hogy hízeleg, van, hogy fenyeget, van, hogy valamelyik főnökre hivatkozik. Előfordul, hogy az emberi naivitást, hiszékenységet használja ki, gyakran pedig az embereknek arra a természetes ösztönére támaszkodik, hogy szívesen segítenek bajba jutott embertársaiknak, kollégáiknak. A részletesen leírt támadások közül némelyik igen hátborzongató, szerintem nagyon nehéz feladat lehet egy nagy szervezet informatikai biztonsági rendszerét úgy kialakítani, és a hozzá tartozó személyzetet úgy kiképezni, hogy a könyvben leírt támadások mindegyike elhárítható legyen.

Mitnick maga is nagy tapasztalattal rendelkezik a social engineering terén, börtönben is ült különböző informatikai rendszerekbe - többek között social engineering eszközökkel végrehajtott - betörések miatt. Az ő nevéhez kapcsolódik az egyik első (de talán az egyik leghíresebb) számítógépes betöréssel kapcsolatos bírósági per.

A könyv Magyarországon, magyar nyelven is kapható (bár szerintem a magyar fordítás elég gyenge).

 

 

 
Ez az én személyes honlapom, amit itt írok, az az én saját, személyes véleményem, nem feltétlenül egyezik a munkahelyem véleményével. A blogomban szereplő tartalom a Creative Commons CC BY licenc szerint (azaz a szerző és a forrás megnevezésével) szabadon felhasználható.