sábado, septiembre 13, 2008

The Art of Intrusion

Si eres de los que gustan la vida on line, la onda geek, la tecnología, la historia de Internet, los temas de hacking, etc. seguramente has escuchado hablar de Kevin Mitnick; uno de los más emblemáticos hacker (si no es que el más) que ha sido tema incluso de películas (malas) como Hackers 2: Operation Takedown.

El caso de Kevin Mitnick movió el mundo de la tecnología pues demostró como una sola persona puede desafiar a las "grandes mentes" de empresas que invierten millones en tecnologías, de ahí que el aparato legal norteamericano le dedicara tanto tiempo y esfuerzo para poner un "castigo ejemplar" a los crímenes informáticos y así desalentar a todos aquellos hacktivistas. Desafortunadamente (para los mismos estadounidenses y "expertos de seguridad") ésto trajo como consecuencia un enojo generalizado de la comunidad (no necesariamente hacker) de Internet en pro de la libertad de la información, incluso muchos crecimos con la imágen de Mitnick como un gurú de la era de la Información y un ejemplo e ídolo incluso.

En fin, este post no es acerca de su (admirable) vida, sino acerca de su libro "The Art of Intrusion", en él Kevin Mitnick nos relata con un relativo lujo de detalle diversos ataques informáticos hechos a varias empresas e incluso a la misma Casa Blanca; los relatos fueron obtenidos de entrevistas con quienes efectuaron dichos ataques y en la mayoría de los casos las empresas víctimas son ocultadas bajo otro nombre. Al final de cada capítulo Kevin redacta ciertas recomendaciones para evitar los ataques descritos en él.

Considero que es un muy buen libro no por el detalle técnico,  sino porque ilustra perfectamente la manera conductual de los hackers, ilustra cómo no hay un estereotipo como los de hollywood (es decir, un chico con lentes raros y un corte de cabello distinto) ni en la persona ni en la forma de proceder, ilustra como los ataques técnicos son complementados con lo que se denomina "ingeniería social" (un buen libro de éste tema es "The Art of Deception" igual de Kevin Mitnick), y cómo los atacantes usualmente identifican muchos patrones que tienen las áreas (o los responsables de éstas) de TI y pueden explotarlas de manera extraordinaria.

Así mismo, nos muestra con ejemplos contundentes la importancia que tiene una buena política de administración de contraseñas, y el por qué es muy malo que el personal ejecute órdenes de alguna otra persona de la organización de rango superior con el temor de ser castigado si se cuestiona la orden, algo que en mi particular experiencia es muy común en las insituciones de gobierno de éste país e incluso en la iniciativa privada.

The Art of Intrusion no te hará un hacker, ni a nivel técnico ni a nivel conceptual; pero sí te hará reflexionar acerca de la seguridad en una empresa. Aunque el libro está ciertamente orientado a personas con ciertos conocimientos técnicos, muchos responsables de alguna área sensible de la empresa deberían analizarlo para comprender cómo muchas veces cualquier persona de la empresa sin importar su jerarquía o función puede representar un riesgo si no es conciente de sí misma y de la empresa, no necesariamente porque dicha persona provoque un fallo de seguridad intencional, sino porque es (verdaderamente) fácil de manipular por alguien que sí busca vulnerar la seguridad de la empresa.

Al final del libro, en el último capítulo, vienen varias historias cortas de casos de hacking de los cuales he de destacar que el más divertido es el de Coca-Cola.

En fin, un must have de la cibercultura.

No hay comentarios.: