Hola:
En http://www.telepolis.com/cgi-bin/reubica?id=83176&origen=EDTecnologia se reseñan las palabras del famoso experto.
Kevin Mitnick enseña a defenderse de hackers como él
El hacker más famoso del mundo acaba de publicar un nuevo libro en el que da pautas para defenderse de los mismos ataques que él hacía y por los que cumplió condena en la cárcel. La nueva vida de un hombre reformado.
Hace seis meses, el hacker más famoso del mundo se preguntaba si alguna vez la gente se olvidaría de su reputación como asesino serial de sistemas informáticos corporativos.
Kevin Mitnick estaba desempleado, deprimido y corría el riesgo de perder su atesorada licencia de radio amateur. Comenzaba a pensar que, a pesar de que había salido de prisión, tal vez cumpliría una condena de por vida.
Ahora, sin embargo, está feliz y se pregunta cómo hará para cumplir con una apretada agenda por la que debe recorrer todo Estados Unidos por compromisos relacionados con su nuevo negocio sobre seguridad.
Por cierto, las cosas mejoraron mucho para el hombre que alguna vez fue el prototipo del hacker malicioso. Incluso obtuvo el visto bueno del gobierno estadounidense: la Comisión Federal de Comunicaciones lo acaba de declarar oficialmente hombre reformado y decidió permitirle continuar con su licencia radial.
El informe de la Comisión hace mención al nuevo libro de Mitnick, The Art of Deception: Controlling the Human Element of Security (El arte del engaño: Cómo controlar el elemento humano en cuestiones de seguridad), como uno de los puntos a favor de su decisión.
Tanto el negocio como el libro tienen como fin enseñar a defenderse de los mismos ataques de "ingeniería social" por los que Mitnick debió cumplir una condena de 4 años por haber cometido fraude informático.
El libro, que Mitnick escribió en conjunto con William Simon, saldrá a la venta este viernes. Trata principalmente el tema de los mensajes masivos de correo electrónico que utilizan los llamados ingenieros sociales para convencer a la gente de que revele información delicada que puede utilizarse para sabotear la seguridad de un sistema.
Mitnick espera que el libro logre probar que no se puede asegurar información simplemente protegiéndola con firewalls, contraseñas o programas de encriptación de datos.
Mitnick señaló que hackear a la gente es "tan sencillo" como hackear computadoras. Pero él cree que se le presta demasiada atención a los ataques a las máquinas y se deja la puerta abierta a los ataques de ingeniería social.
Mitnick y otros especialistas en seguridad se disgustaron cuando se dieron cuenta de que el anteproyecto (PDF) del Gobierno de George Bush de la "Estrategia Nacional para Asegurar el Ciberespacio", lanzado el 18 de septiembre, no propone soluciones para combatir el problema de los ataques de ingeniería social.
"No cabe duda de que la ingeniería social es un problema que requiere atención, sobre todo en el caso de personas que tienen conocimientos y/o acceso especial a sistemas a los que se accede por vía telefónica", declaró Randy Sandone, director ejecutivo de la firma de seguridad Argus. "El hombre siempre será humano. La ingeniería social no desaparecerá nunca."
En su libro, Mitnick describe decenas de situaciones de ingeniería social y detalla el modo en que los atacantes pueden explotar con facilidad lo que él llama "ese deseo natural del hombre de ayudar al otro y de trabajar en equipo".
"La gente tiene una tendencia a tener deslices mentales", manifestó Mitnick. "Tal vez sabe que no debe revelar cierta información, pero el miedo a caer antipático, a quedar como un bruto, a lo que se percibe como la figura de la autoridad; todos estos miedos son disparadores que un ingeniero social puede utilizar para convencer a una persona a que haga caso omiso a las medidas de seguridad establecidas."
A Mitnick le gusta decir que la mejor defensa contra la ingeniería social consiste en "no confiar en nadie".
No obstante, hace hincapié en que él no está a favor de caer en la paranoia total, sino de tener un poco de sentido común.
"Cuando alguien le pide un favor que implica revelar información, si no lo conoce o no puede comprobar su identidad, diga que no."
Mitnick agregó que algunas de las medidas incluidas en el anteproyecto sobre seguridad informática impulsado por el Gobierno podrían resultar útiles a la hora de combatir los ataques de ingeniería social. El proyecto propone impartir enseñanza sobre seguridad a todo el mundo, una medida que Mitnick apoya.
"A menudo sucede que un atacante logra penetrar el sistema de seguridad de una empresa obteniendo información tan inocente, tan común e insignificante, que a nadie se le ocurriría pensar que debería protegerse y restringirse", explicó Mitnick.
Mitnick también espera instruir a empresas y organismos oficiales en temas de seguridad a través de su nueva consultora, Defensive Thinking (Pensamiento Defensivo).
Consultar:
http://www.defensivethinking.com/
Saludos
Marcadores