di Kevin MitnickIn questo testo l'autore illustra principalmente la figura dell'ingegnere sociale e come evitare le sue trappole. Non si parla infatti di tecniche di hacking o di cracking, né di vulnerabilità da sfruttare per introdursi abusivamente in un sistema, ma come il titolo suggerisce, di tecniche psicologiche e sociali, che certi personaggi usano sul malcapitato per ottenere informazioni confidenziali, facendo leva sulla sua magnanimità e anche ingenuità.
L'ingegnere sociale non è un nerd che passa le sue giornate al computer, è piuttosto una persona con la faccia tosta, la quale non ha alcun problema a spacciarsi per un'altra persona.
L'ingegnere sociale non è un nerd che passa le sue giornate al computer, è piuttosto una persona con la faccia tosta, la quale non ha alcun problema a spacciarsi per un'altra persona.
Nel libro vengono illustrate tutte le tecniche, comprese quelle classiche usate da Mitnick a suo tempo, prima che finisse in gatta buia. Il testo termina con un vademecum da seguire, una sorta di politica aziendale della sicurezza che tiene conto anche dell'ingegneria sociale. Non seguire questi suggerimenti e basare le proprie policy sulle cose più ovvie, come impostare bene un firewall, o applicare l'ultima patch, può un giorno riservare delle spiacevoli sorprese, sino ad arrivare, nel caso peggiore, ad essere magari una vittima di spionaggio industriale.
Neanche la cifratura da sola è sufficiente, dato che l'ingegnere sociale solitamente usa il trucco di fingersi un impiegato disperato di un'altra filiale con un problema da risolvere, chiedendo la password con pretesti vari. Addirittura, una persona con conoscenze di phreaking potrebbe essere in grado di falsificare l'ID di chiamata, cosicché chi è dall'altra parte vede effettivamente il numero di telefono della filiale e non quello reale da cui chiama l'impostore.
Neanche la cifratura da sola è sufficiente, dato che l'ingegnere sociale solitamente usa il trucco di fingersi un impiegato disperato di un'altra filiale con un problema da risolvere, chiedendo la password con pretesti vari. Addirittura, una persona con conoscenze di phreaking potrebbe essere in grado di falsificare l'ID di chiamata, cosicché chi è dall'altra parte vede effettivamente il numero di telefono della filiale e non quello reale da cui chiama l'impostore.
Nessun commento:
Posta un commento