Sosial sjarm er hackerens fremste egenskap

USAs mest beryktede hacker, Kevin Mitnick, skriver en bok der han forklarer at sosial sjarm er hackerens fremste egenskap.

Kevin Mitnick har sittet fem år i fengsel for hacking. Dommen gjør det ulovlig for ham å kople seg til noen form for datanettverk fram til januar 2003, og forbyr ham også fram til 2010 å tjene penger på å fortelle om sine hackerbedrifter.

I disse dager kjemper han for å beholde sin lisens for amatørradio. Han kan ikke drive som sikkerhetskonsulent, men han har lov til å holde taler og delta på sikkerhetskonferanser. Han deltar blant annet på den pågående sikkerhetskonferansen til RSA Security i San Jose.


På RSA-konferansen ble det sagt mye om infrastruktur og om teknologi. Men i et intervju med nyhetsbyrået Reuters peker Mitnick på en stor mangel: Ingen taler eller seminarer har tatt opp det amerikanerne kaller "social engineering", det vil si bevisst utnyttelse av andres menneskelige svakheter til å slå seg gjennom sikkerhetssperrer.
Mitnicks hackerbragder bygget i stor grad på dette prinsippet, og det er det boka hans handler om. Arbeidstittelen er "The Art of Deception", eller "Kunsten å bedra".

Blant dem Mitnick diskuterte med på RSA-konferansen var Shawn Nunley, tidligere ansvarlig for tildeling av innringningskontoer i Novell, og en av Mitnicks ofre i en komplott som ga Mitnick en kopi av kildekoden til Novell-systemet NetWare i 1992.

Mitnick greide først å få en annen medarbeider i Novell til å kopiere en zippet utgave av kildekoden til en server som var tilgjengelig for Novell-ansatte med rett til å kople seg til selskapets interne system over et modem. Han tok deretter kontakt med Nunley for å få en konto, og ga seg ut for å være en betrodd Novell-medarbeider på ferie. Nunley ba Mitnick legge igjen en beskjed på telefonsvareren, slik at han kunne dokumentere henvendelsen for ettertiden. Mitnick hadde forutsatt at Nunley ville ringe den betrodde medarbeiderens interntelefon for å sammenlikne telefonsvarerstemmen der med stemmen til Mitnick, og hadde manipulert en annen Novell-ansatt til å la ham erstatte denne stemmen med sin egen. Nunley kunne konstatere at de to stemmene var like, og opprettet kontoen som Mitnick ba om.

Han oppdaget fort hva Mitnick holdt på med, men da var kildekoden - Novells viktigste kapital - allerede i Mitnicks hender.

Nunley var først forbannet på Mitnick. Seinere ble han forferdet over Novells overdrivelser av hva Mitnick hadde kostet selskapet, og av myndighetene framferd - Mitnick ble holdt innesperret i flere år, uten dom og uten siktelse. Han tok kontakt med Mitnicks advokat for å tilby sin hjelp.

Selv om sosial sjarm og frekk lureri ikke var tema på RSA-konferansen, er det et løpende tema i sikkerhetsdebatten.

Blant dem som retter søkelyset på det, er SecurityFocus, også kjent som vert-skapet til Bugtraq. På nettstedet til SecurityFocus finnes ypperlig og fersk materiale publisert umiddelbart før og umiddelbart etter årsskiftet av Sarah Granger under fellestittelen "Social Engineering Fundamentals".

Her er lenkene: Part I: Hacker Tactics og Part II: Combat Strategies.

Granger har vært engasjert i problemområdet siden hun som elev i videregående fikk ansvaret for å utrede sikkerheten ved skolens dataanlegg, og oppdaget at dersom hun med en selvfølgelig mine tok med seg skjerm og tastatur ut fra datarommet, var det ingen, verken lærere eller medelever, som reagerte.

Grangers andre artikkel munner ut i en tabell som anskueliggjør risikoområder, hackertaktikker og mottiltak.

Begge artiklene viser til masse bakgrunnslitteratur.

Til toppen