Po lekturze
„Ducha w sieci”, autobiografii Kevina Mitnicka, przyszedł czas na przeczytanie
jego poprzedniej książki, Sztuki
infiltracji.
Kevin Mitnick,
podobnie jak w przypadku jego pozostałych dwóch książek, także Sztukę infiltracji napisał współpracując
z pisarzem Williamem Simonem. Kevin pisze w podziękowaniu: „…Wybitny talent pisarski Billa obejmuje magiczny dar prezentowania
informacji podanych przez naszych współpracowników w taki sposób, że nawet
nasze babcie mogłyby to zrozumieć”. Cóż, należy to stwierdzenie rozumieć
metaforycznie, jednak ja i tak sądzę, iż dla wielu osób odbiór fragmentów
książki może stanowić problem. Ale o tym dalej, napiszę najpierw, co zawiera
bestseller Mitnicka.
Sztuka infiltracji składa się z
jedenastu części. Pierwszych dziesięć to autentyczne historie, opisane na bazie
wspomnień byłych hakerów, a jedenasta część zawiera kilka krótkich, również
mających miejsce w rzeczywistości, zabawnych opowieści. Na początku czytamy o
hakowaniu kasyn w Las Vegas, o tym, jak trójka młodych hakerów opracowuje
system przewidywania wygranych w grze na automatach i wprowadza go w życie.
Następną historią jest opowieść o młodym chłopaku, który zdobywa informacje dla
terrorysty, a kolejna traktuje o hakerze, który siedząc w więzieniu uzyskuje dostęp
do sieci, ściąga muzykę i filmy, a nawet gry komputerowe jeszcze przed dniem
ich światowej premiery. Wszystkie opowieści są bardzo wciągające, drobiazgowo
opisują metody, jakimi hakerzy posługiwali się, by dopiąć celu. Co ciekawe,
autor (obecnie specjalista od spraw zabezpieczeń komputerowych) na końcu każdej
historii podaje sposoby, jakimi należy radzić sobie z zagrożeniem z sieci,
opisuje swoje spostrzeżenia oraz konkluzje. Dzięki temu Sztuka infiltracji nabiera formy podręcznika raczej niż powieści,
zawierającego przykłady hakerskich wyczynów i krótkie opisy metod
zabezpieczenia się przed nimi. Nawet nie tylko przed włamaniem z sieci, z
zewnątrz, ale także przed atakami socjotechnicznymi, często mającymi miejsce
wewnątrz firmy.
Jedna z
historii opisuje audyt bezpieczeństwa, do przeprowadzenia którego firma
wynajęła specjalistę. Dostarcza nam wszystkich szczegółów o tym, jak taki
człowiek postępuje, znajdując się wewnątrz firmy i rozmawiając z jej
pracownikami. Obrazuje, jak łatwo jest komuś zupełnie obcemu zdobyć nasze
zaufanie i uzyskać od nas zastrzeżone informacje, a także dostać się do miejsc
w firmie, do których taka osoba wstępu mieć nie powinna. Specjalista porusza
się po całej firmie, wchodzi na konta pracowników i kopiuje informacje, a to
tylko dzięki samemu sprytowi, umiejętności manipulacji i ludzkiej ufności. Jest
to opowieść będąca przestrogą dla nas wszystkich i dowodem na to, jak łatwo
dajemy się oszukać.
Całość jest
bardzo ciekawą i pouczającą lekturą. Dla kogoś w miarę obeznanego z
komputerowym żargonem lektura książki nie będzie stanowić wielkiego problemu,
ale – jak pisałem wyżej – autor przesadził z tym, że „nawet nasze babcie mogłyby to zrozumieć”. Dla poparcia moich słów
oraz uwidocznienia tego, o czym piszę, podam poniżej cytaty fragmentów tekstu:
„Mniej więcej w tym czasie otwarty serwer
Proxy, przez który miał dostęp, przestał pracować. Adrian nie był pewien
dlaczego, ale już więcej nie mógł wejść. Zaczął szukać innej drogi. Podejście,
jakie zastosował, było całkowicie nowatorskie.
Zyskał punkt wyjścia dzięki technice reverse DNS lookup, polegającej na
użyciu adresu IP do znalezienia pasującej nazwy hosta. (Jeśli w swojej
przeglądarce wpiszecie www.defensivethinking.com,
żądanie trafi do serwera domeny [DNS], który przekłada nazwę na adres – w tym
przypadku 209.151.246.5 – używany w Internecie do przekierowania żądania na
stronę. Taktyka Adriana polegała na odwróceniu tego procesu: napastnik
wprowadza adres IP i dostaje nazwę domeny urządzenia, do którego należy
adres).”
To jeden z
fragmentów tekstu, dosyć przystępny. Poniżej zacytuję inny, zawierający więcej
określeń technicznych i trudniejszy w odbiorze, ale zanim to zrobię, chcę Wam
powiedzieć, że sprawdziłem link z powyższego akapitu i wygląda na to, że Kevin
wykorzystał jego opublikowanie w książce dla swoich celów, gdyż prowadzi on do
strony reklamującej wszystkie jego powieści. Sprytna z niego bestia, trzeba mu
to przyznać.
„Byli w DMZ sieci firmy, ale kiedy
spróbowali nawiązać połączenie z własnymi systemami, zostali zablokowani. Spróbowali
również wysłać polecenia ping do wszystkich systemów w sieci (ping sweep), ale
od systemu 3COM za firewallem, żeby rozpoznać wszystkie potencjalne systemy i
dodać je do swojej listy celów. Gdyby w schowku były adresy jakiejś maszyny, to
by znaczyło, że jakies urządzenie blokuje dostęp do protokołu wyższego rzędu. „Po
kilku próbach – powiedział Louis – w pamięci podręcznej ARP zobaczyliśmy zapisy
wskazujące, że niektóre maszyny transmitują swoje adresy”. (ARP, protokół
określenia adresów, umożliwia znalezienie fizycznego adresu hosta na podstawie
jego adresu IP. Każdy host utrzymuje w pamięci podręcznej tłumaczenia adresów,
żeby redukować opóźnienie w wysyłaniu pakietów danych).
Tak właśnie
wyglądają niektóre partie tekstu zawartego w książce, i nie jest ich wcale
mało. Mimo tego nie zakłócają one przyjemności czytania, co najwyżej mogą
niektórych z nas wprowadzić czasem w stan niepewności co do rozumienia czytanego
tekstu.
Wszystkie
historie traktują o ludziach, o tym, czego dokonali za pomocą swoich maszyn i
umiejętności, a także intelektu. Jeśli chodzi o mnie, to książka bardzo mi się
podobała, gdyż zawiera solidną dawkę informacji na temat hakingu, a przy tym
opowieści są i ciekawe, i zabawne miejscami. Są również pouczające, zwracają
naszą uwagę na rzeczy, którymi normalnie raczej byśmy się nie przejmowali, będąc
na ogół pewnymi naszej własnej nieomylności.
6/6
Brak komentarzy:
Prześlij komentarz