EL ARTE DEL ENGAÑO Controlar el elemento humano de la seguridad KEVIN D. MITNICK & William L. Simon Prólogo de Steve Wozniak Analizados por kineticstomp, revisado y ampliado por swift Para Reba Vartanian, Shelly Jaffe, pollito Leventhal y Mitchell Mitnick y para la tarde Alan Mitnick, Adam Mitnick y Jack Biello Para Arynne, Victoria y David, Sheldon, Vincent y Elena. Ingeniería social Ingeniería social utiliza influencia y persuasión para engañar a las personas por convencerlos de que el ingeniero social es alguien que no es o por manipulación. Como resultado, el ingeniero social es capaz de tomar ventaja de las personas para obtener información con o sin el uso de tecnología. Contenido Prólogo Prefacio Introducción Parte 1 detrás de las escenas Eslabón del capítulo 1 seguridad más débil Parte 2 el arte del atacante Capítulo 2, cuando no de información inocua Capítulo 3 el ataque directo: Pidiendo sólo se Capítulo 4 fomento de la confianza Capítulo 5 \"Déjame ayudarte\" Capítulo 6 \"Me puedes ayudar?\" Capítulo 7 sitios falsos y peligrosos archivos adjuntos Capítulo 8 utilizando la simpatía, la culpabilidad y la intimidación Capítulo 9 el aguijón inverso Alerta de intruso parte 3 Capítulo 10 ingrese en las instalaciones Capítulo 11 la combinación de tecnología y la ingeniería Social Capítulo 12 ataques contra el empleado de nivel de entrada Capítulo 13 contras inteligentes Capítulo 14 de espionaje Industrial Parte 4 elevar la barra Formación y sensibilización de seguridad de información capítulo 15 Capítulo 16 recomienda las políticas corporativas de seguridad de información Seguridad de un vistazo Fuentes Agradecimientos Prólogo Los seres humanos nacemos con una unidad interior para explorar la naturaleza de nuestro entorno. Como jóvenes, fueron intensamente curiosos tanto Kevin Mitnick y sobre el mundo y con ganas de demostrar a nosotros mismos. Fuimos galardonados con frecuencia en nuestros intenta aprender cosas nuevas, resolver acertijos y ganar en los juegos. Pero al mismo tiempo, el mundo nos enseña las reglas de comportamiento que limitado nuestro interior nos instar a hacia la exploración libre. Para nuestros más audaces científicos y tecnológicos empresarios, así como para personas como Kevin Mitnick, siguiendo este impulso interior ofrece la mayor emoción, permitirnos realizar cosas que otros creen que no se puede hacerse. Kevin Mitnick es uno de las mejores personas que conozco. Le pido, y él dirá enérgicamente que solía hacer - ingeniería social – entrana estafar gente. Pero Kevin ya no es un ingeniero social. Y aun cuando fue su motivación nunca fue a enriquecerse o dañar a otros. Eso no quiere para decir que no peligrosos y destructivos criminales por ahí que utilizan la ingeniería social para causar daño real. De hecho, eso es exactamente por eso Kevin escribió este libro - para advertirle acerca de ellos. El arte del engaño muestra cuán vulnerables somos - Gobierno, negocios, y cada uno de nosotros personalmente - a las intrusiones del ingeniero social. En este era consciente de la seguridad, nos gastan enormes sumas en tecnología para proteger nuestra datos y redes informáticas. Este libro señala lo fácil que es engañar a personas con información privilegiada y eludir toda esta protección tecnológica. Si trabaja en la empresa o el Gobierno, este libro proporciona un camino poderoso Mapa para ayudarle a comprender cómo funcionan los ingenieros sociales y lo que puede hacer para frustrarles. Con historias de ficción entretenida y reveladora, Kevin y coautor Bill Simon dar vida a las técnicas de lo social Ingeniería inframundo. Después de cada historia, ofrecen directrices prácticas para ayudar a prevenir las violaciones y amenazas a que están descritos. Seguridad tecnológica deja lagunas importantes que las personas como Kevin nos puede ayudar Cerrar. Lee este libro y finalmente puede darse cuenta que todos tenemos que recurrir a la De Mitnick entre nosotros para orientación. Steve Wozniak Prefacio Algunos piratas informáticos destruyen popular archivos o discos duros enteros; llamamos galletas o vándalos. Algunos piratas informáticos novato no te molestes en aprendizaje de la tecnología, sino simplemente Descargar herramientas de hackers de irrumpir en los sistemas informáticos; llamamos script kiddies. Los hackers más experimentados con conocimientos de programación desarrollan hacker programas y publicarlos en la Web y a los sistemas de tablón de anuncios. Y, a continuación son personas que no tienen ningún interés en la tecnología, pero usan la computadora simplemente como una herramienta para ayudarlos en robar dinero, bienes o servicios. A pesar del mito creado por medio de Kevin Mitnick, yo no soy un hacker malintencionado. Pero me estoy poniendo por delante de mí. SALIDA Mi camino probablemente se estableció temprano en la vida. Yo era un niño despreocupado, pero aburrido. Después mi padre cuando yo tenía tres años, mi madre trabajó como camarera a nos apoyan. A ver me luego - un sólo niño ser criado por una madre que puso en durante mucho tiempo, atosigar días puntualmente a veces errático - habría sido ver un jovencita en sus propio casi todas sus horas vigilia. Era mi niñera. Creció en una comunidad del Valle de San Fernando me dio la totalidad de Los Angeles para explorar y por la edad de los doce que había descubierto una manera de viajar gratis en toda la zona de L.A. todo mayor. Me di cuenta un día mientras viajaba en el bus que la seguridad de los traslados en autobús que había comprado dependía del inusual patrón de la perforadora de papel, que los controladores se utilizan para marcar el día; tiempo y ruta en el resguardos de transferencia. Me dijo un conductor amable, responder a mi pregunta cuidadosamente plantado, Dónde comprar ese tipo especial de punch. Las transferencias se supone que le permiten cambiar autobuses y continuar un viaje a su destino, pero trabajó cómo utilizarlos para viajar a cualquier lugar que quería ir de forma gratuita. Obtener transferencias en blanco fue un paseo por el Parque. Los contenedores de basura en las terminales de autobús siempre estaban llenas de libros sólo-parcialmente usados de las transferencias que los controladores arrojó lejos del final de los turnos. Con una almohadilla de espacios en blanco y el puñetazo, pude Marcar mis propias transferencias y viajar a cualquier lugar que Autobuses de L.A. fueron. En poco tiempo, pero todo había memorizado los horarios de autobuses de la todo el sistema. (Esto fue un ejemplo temprano de mi memoria sorprendente para determinados tipos de información; Aún así, hoy, puedo recordar números de teléfono, contraseñas, y otros detalles aparentemente triviales como en mi infancia). Otro interés personal que surgieron en una edad temprana fue mi fascinación realizar magia. Una vez que aprendí cómo funcionaba un truco nuevo, sería práctica, practicar y practicar algunos más hasta que lo domina. En una medida, fue a través de magia que descubrí el disfrute en adquirir conocimiento secreto. Desde teléfono venía de Hacker Mi primer encuentro con lo que sería eventualmente aprendo llamar ingeniería social surgió durante mis años de secundaria cuando conocí a otro estudiante que fue atrapados en un hobby llamado teléfono phreakin. Teléfono phreaking es un tipo de hacking le permite explorar la red telefónica mediante la explotación de los sistemas telefónicos y empleados de la compañía de teléfono. Me mostró aseados trucos que podía hacer con una teléfono, como obtener cualquier información de la compañía telefónica en cualquier el cliente y utilizando un número de prueba secreta para hacer llamadas de larga distancia gratis. (En realidad era libre sólo a nosotros. Descubrí mucho más tarde que no era una prueba secreta número en absoluto. Las llamadas fueron, de hecho, se facturan a MCI algunos pobres empresa cuenta.) Fue mi introducción a la ingeniería social-mi jardín de infantes, por así decirlo. Mi amigo y otro phreaker de teléfono que conocí poco después me deja escuchar que cada uno hace las llamadas de pretexto a la compañía telefónica. He escuchado las cosas dijeron les hizo sonar creíble; Aprendí sobre las oficinas de la empresa de teléfono diferente, jerga y procedimientos. Pero que la \"formación\" no duró mucho; no tuve que. Pronto me fue haciendo que todos en mi propia, aprendiendo como fui, haciendo incluso mejor que mi primera profesores. Se ha creado el curso de que mi vida seguiría durante los próximos quince años. En alto escuela, uno de mis bromas favoritas de todos los tiempos fue obtener acceso no autorizado a la conmutador telefónico y cambiar la clase de servicio de un compañero por teléfono phreak. Cuando él intentó hacer una llamada desde su casa, obtendría un mensaje diciéndole que depósito un centavo porque había recibido el conmutador de la compañía de teléfono de entrada indicó que estaba llamando desde un teléfono público. Me convertí en absorbida en todo lo relacionado con teléfonos, no sólo de la electrónica, switches y equipos, sino también la organización empresarial, los procedimientos, y la terminología. Después de un tiempo, probablemente sabía más sobre el sistema de teléfono que cualquier empleado solo. Y había desarrollado mis habilidades de ingeniería social para el punto de que, a los diecisiete años, fui capaz de hablar a la mayoría empleados de telecomunicaciones en casi nada, si yo estaba hablando con ellos en persona o por teléfono. Mi publicitada piratas carrera realmente comenzado cuando estaba en la escuela secundaria. Mientras que no puedo describir el detalle aquí, baste decir que uno de la conducción fuerzas en mis primeros hacks era ser aceptada por los chicos en el grupo de piratas informáticos. Entonces usamos el hacker de plazo a una persona que pasaba gran parte de tiempo de trastear con hardware y software, ya sea para desarrollar más eficiente programas o para omitir los pasos innecesarios y hacer el trabajo más rápidamente. El término se ha convertido en un peyorativo, llevando el significado de \"delincuente malicioso\". En estas páginas utilizo el término de la manera que siempre he utilizado-en su anterior, más sentido benigno. Después de la escuela secundaria estudié equipos en el centro de aprendizaje del equipo en Los Ángeles. Dentro de unos meses, manager del equipo de la escuela se dio cuenta de que tenía vulnerabilidad encontrada en el sistema operativo y administrativo obtuvo lleno privilegios en su minicomputadora de IBM. Los mejores expertos en informática en sus personal docente no se ha podido averiguar cómo lo había hecho. En lo que pudo haber sido uno de los primeros ejemplos de \"alquiler del hacker\", me dio una oferta que no podía rechazar: hacer un proyecto de honores para mejorar la seguridad del equipo de la escuela, o en la cara suspensión para hackear el sistema. Por supuesto, he decidido hacer el proyecto de honores, y terminó graduándose cum laude con honores. Convertirse en un ingeniero Social Algunas personas levantarse de la cama cada mañana horrorizado su rutina diaria de trabajo en las minas de sal proverbiales. He tenido la suerte de disfrutar de mi trabajo. n particular, Usted no puede imaginar el desafío, la recompensa y el placer tuve el tiempo que pasé como un investigador privado. Yo estuve afilando mis talentos en el arte de performance llamado social Ingeniería (sacar a la gente a hacer cosas que normalmente no hacen por un extraño) y ser pagado por ello. Para mí no fue difícil convertirse en experto en ingeniería social. Mi padre parte de la familia había sido en el campo de ventas durante generaciones, por lo que el arte de influencia y persuasión podrían haber sido un rasgo heredado. Cuando se combinan ese rasgo con una inclinación para engañar a las personas, tiene el perfil de un típico ingeniero social. Se podría decir que hay dos especialidades dentro de la clasificación de puestos del estafador. Alguien que estafas y trampas de gente de su dinero pertenece a una Sub-Specialty, el grifter. Alguien que utiliza el engaño, influencia, y persuasión contra las empresas, generalmente dirigidas a su información, pertenece a la otro sub-specialty, el ingeniero social. Desde el momento de mi truco de traslados en autobús, Cuando yo era demasiado joven para saber que no había nada malo con lo que estaba haciendo, Había comenzado a reconocer un talento para descubrir los secretos que no se supone que tienen. Construí sobre ese talento mediante engaño, conociendo la jerga y desarrollo una habilidad de manipulación. Una forma he trabajado en el desarrollo de las habilidades de mi oficio, si puedo llamarlo un oficio, fue destacar algún dato realmente no importa y ver si me alguien podría hablar en el otro extremo del teléfono en proporcionar, sólo para mejorar mis habilidades. De la misma manera que solía practicar mis trucos de magia, practicado pretexting. A través de estos ensayos, pronto descubrí que podía adquirir prácticamente cualquier información que dirigido. Como describí en su testimonio del Congreso ante senadores Lieberman y Thompson años: He ganado acceso no autorizado a sistemas informáticos en algunos de los más grandes corporaciones del planeta y han penetrado con éxito algunos de los más sistemas informáticos resistentes jamás desarrollaron. He usado tanto técnicos como no- medios técnicos para obtener el código fuente para varios sistemas operativos y dispositivos de telecomunicaciones para estudiar sus vulnerabilidades y su interior funcionamiento. Toda esta actividad fue realmente satisfacer mi curiosidad; para ver qué podía hacer; y encontrar información secreta acerca de sistemas operativos, teléfonos celulares, y cualquier otra cosa que despertó mi curiosidad. REFLEXIONES FINALES He reconocido desde mi detención que las acciones que tomó fueron ilegales ya compromiso de invasiones de privacidad. Mis fechorías estaban motivados por la curiosidad. Quería saber como podría sobre el funcionamiento de redes de telefonía y los-y-entresijos de la seguridad informática. ME pasó de ser un niño que le encantaba realizar trucos de magia para convertirse en el mundo hacker más notorio, temido por las corporaciones y el Gobierno. Como reflejan volver a mi vida durante los últimos 30 años, admito que hice algunos extremadamente pobres decisiones, impulsadas por mi curiosidad, el deseo de aprender acerca de la tecnología y la necesidad de un buen reto intelectual. Ahora soy una persona cambiada. Me estoy volviendo mi talento y los conocimientos He reunido sobre tácticas de ingeniería social y la seguridad de información para ayudar a Gobierno, empresas y particulares prevención, detectan y responden a amenazas de seguridad de la información. Este libro es una forma más que puedo utilizar mi experiencia para ayudar a otros a evitar la esfuerzos de los ladrones de información malintencionada del mundo. Creo que encontrará el historias agradables, reveladora y educativas. Introducción Este libro contiene una gran cantidad de información sobre seguridad de la información y social Ingeniería. Para ayudarle a encontrar su camino, aquí un rápido vistazo a cómo este libro es organizado: En la parte 1 te revelan el eslabón más débil de seguridad y mostrar por qué usted y su empresa están expuestos a ataques de ingeniería social. En la parte 2 verá cómo los ingenieros sociales de juguete con su confianza, su deseo de ser útil, su simpatía y su credulidad humana para obtener lo que quieren. Historias de ficción de ataques típicos demostrará que los ingenieros sociales pueden llevar muchos sombreros y muchas caras. Si crees que nunca ha encontrado uno, eres probablemente equivocado. Reconocerá un escenario que has experimentado en estos ¿historias y se preguntan si tuvieras un pincel con ingeniería social? Usted muy bien podría. Pero una vez que haya leído los capítulos 2 a 9, sabrás cómo obtener el mano superior cuando el ingeniero social siguiente trata de llamada. Parte 3 es la parte del libro donde se ve cómo el ingeniero social aumenta la apuesta, en inventado historias que muestran cómo puede avanzar en sus instalaciones corporativas, robar el tipo de secreto que puede hacer o quebrar tu empresa y frustrar su alta tecnología medidas de seguridad. Los escenarios en esta sección le hará consciente de las amenazas que van desde la venganza de simple empleado para el terrorismo cibernético. Si usted valora la información que mantiene su negocio funcionando y la privacidad de sus datos, usted ¿desea leer capítulos 10 al 14 de principio a fin. Es importante señalar que, salvo indicación contraria, las anécdotas en este libro son puramente ficticio. En la parte 4 hablar la charla corporativa sobre cómo evitar el éxito social Ingeniería ataques contra su organización. Capítulo 15 proporciona un modelo para un exitoso programa de formación en seguridad. Y capítulo 16 sólo puede guardar tu cuello- es una política de seguridad completa que se puede personalizar para su organización y implementar inmediatamente para proteger a su empresa y la información. Por último, he proporcionado una seguridad en una sección de resumen, que incluye listas de comprobación, tablas y gráficos que resumen la información clave que puede utilizar para ayudar a su empleados de frustrar un ataque de ingeniería social en el trabajo. Estas herramientas también proporcionan valiosa información que puede utilizar en la elaboración de su propio programa de formación en seguridad. En todo el libro también encontrará varios elementos útiles: cuadros de Lingo proporcionar definiciones de ingeniería social y terminología hacker informática; Mensajes de Mitnick ofrecen breves palabras de sabiduría para ayudar a reforzar su seguridad estrategia; y notas y barras laterales dan interesantes antecedentes adicionales o información.