Bedrägerihandboken
Inledning
Bedrägerihandboken
Sammanfattning
|
Bedrägerihandboken |
|
Tack till Pagina som lånade ut produkten för recension.
Den här gången ska vi följa med mannen som vi läst om i en rad artiklar, sett på film och läst böcker om. Mannen som varit jagad av FBI, fängslats, kommit ut från fängelset år 2000, bytt karriär och blivit en av vår tids mest eftertraktade säkerhetsexperter. Vi talar förstås om den legendariske hackern Kevin Mitnick och "Bedrägerihandboken". Tidigare har Kevin figurerat i boken ”Fugutive Game Online with Kevin Mitnick” som skrevs av Jonathan Littman. Hur som helst ska det nu handla om ”Bedrägerihandboken”, eller ”The Art of Deception” som orginaltiteln lyder, och ingenting annat. Boken som Publishers Weekly beskrev som ”..a tour de force, a series of tales of how some old-fashioned blarney and high-tech skills can pry any information from anyone. As entertainment, it's like reading the climaxes of a dozen complex thrillers, one after the other.”.
| Orginaltitel | The Art of Deception |
| Förlag | Pagina |
| Pris | Ca. 350 kr |
| ISBN | 91-636-0764-6 |
| Antal sidor | 404 |
| Tryckår | 2002 |
I boken "Bedrägerihandboken - Hantera den mänskliga säkerhetsfaktorn", som är skriven av Kevin Mitnick och William Simon, får vi se hur en hacker tänker. Vi får se hur någon genom, vad Kevin kallar social manipulering, går runt alla säkerhetsbarrikader. Vi får lära oss varför kraftfulla brandväggar och hård kryptering inte räcker till för att hålla angripare borta.
|
Under bokens fem Företalssidor får vi följa Kevins resa från att gratisåka med bussarna i L.A. till att vara telefonmarodör, hackare, bakom lås och bom för att nu vara en ledande och eftertraktad säkerhetsexpert.
Boken är egentligen uppbyggd av fyra delar. Första delen behandlar säkerhetens svagaste länkar och visar varför du/ditt företag ligger i riskzonen. Här visar Kevin varför ett stort företag med den allra senaste och säkraste spjutspetstekniken, välutbildade anställda och med stans bästa säkerhetsvakter fortfarande är totalt sårbart. I nästa del får man se hur en bedragare/angripare utnyttjar vårt förtroende och våra känslor för att nå sitt mål. För att en angripare ska nå sitt mål krävs en hel del förarbete. Mycket av den information som en bedragare samlar på sig längs vägen kan verka oskyldig, men för bedragaren själv är den viktig för att han ska kunna klä sig i en ny roll. Här får man läsa ficktiva historier som speglar typiska angrepp. I bokens tredje del får man se hur en bedragares påhittade historier tar honom in i företagets lokaler och låter honom stjäla företagshemligheter. Till och med de mest säkerhetsmedventa människorna låter sig luras av väldigt enkla knep. Vi får se hur en bedragare kan uppträda och hur man ska bemöta dessa främlingar som ”bara” letar information. Den sista delen är mest riktad mot företag och företagare. I det 15 kapitlet finns det en beskrivning hur man kan göra en säkerhetsutbildning för sina anställda, och i kapitel 16 har Kevin laggt upp en fullständig säkerhetspolicy för att säkra företaget och dess information visar hur man skyddar sig mot dessa angrepp. Förutom dessa grunddelar i boken finns ett avsnitt som heter ”Säkerhetsöversikt” med checklistor och tabeller som hjälper företagspersonalen att hantera attacker från bedragare.
Vi får även veta vad en "Sopdykning" egentligen är, och hur lättmanipulerade människor kan vara. Vad är det som får människor att göra handlingar de i vanliga fall inte skulle göra? Kevin visar oss varför känslor och medlidande för andra människor kan ställa till med problem. För vem kan motstå att hjälpa en kollega i nöd per telefon?
Överallt i boken finns det små informationsrutor. Dessa rutor kan vara ”Jargong”-rutor som förklarar slangord och uttryck inom, vad Kevin kallar, hackerkultur. Eller så handlar det om ”Mitnicks Meddelanden” som ger tips och små visdomsord. Alla dessa inforutor är uppskattade för mig som inte har en susning om vad som menas med ”Torsk” bortsett från fisken. Inforutorna beskriver även ting så som ”Trojansk häst” och ”Fjärrkommandoskal” så att även läsare utan tidigare kunskaper inom området ska förstå.
Det ska även tilläggas att ingen av Kevins historier eller exempel är sanna om det inte står annat.
För att slippa kila ned till närmsta bokhandel och tjuvläsa ett kapitel i butiken finns en webversion av Kapitel 10, "Inne i lokalerna". Den finner du här.
När man läser boken ska man även tänka på att hemma i sköna Sverige finns det personnummer. I USA, där boken utspelar sig, använder man ett socialförsäkringsnummer (Social Security Number) och körkortsnummer (Driver's Licens Number) för identifiering. Dessutom finns det, i USA, något som kallas för "caller-ID" som är en typ av namn- och nummerpresentation. Dessa "caller-ID"s som det emellanåt talas om skulle aldrig kunna fungera på samma sätt här hemma eftersom det systemet inte finns i Sverige. En sista sak att lägga på minnet är att man i Sverige har ett helt annat skydd som anställd än i USA. Där kan nämligen människor avskedas omgående. Tack och lov har inte översättaren på något sätt försökt att ”försvenska” någon av dessa händelser. Däremot ska man komma ihåg att de flesta av bokens situationer mycket väl skulle kunna hända och har säkert hänt i Sverige.
Trots titeln är detta inte en handbok för hur du bäst gör framgångsrika intrång på valfritt IT-bolag. Nej, alla ”script-kiddies” som köper denna bok i tron om att kunna imponera på sina kompisar bedrar sig. De exempel som Kevin visar i boken är inte nya, men sätten att skydda sig är tydligen något som många inte uppmärksammat. Vissa av dem är helt uppenbara och kan te sig fullkomligt logiska, men det finns också mycket matnyttiga tips som aldrig slagit mig. I slutet av boken finns en ”Säkerhetsöversikt” där man snabbt kan hitta listor på vanliga metoder vid social manipulering, varningstecken om attacker, vanliga mål för angrepp o.s.v.
Målgruppen för ”Bedrägerihandboken” är i mina ögon för såväl företagare som den nyfikne trots att den sista delen är tillägnad företag. Det finns många matnyttiga säkerhetstips utöver att aldrig ha sina lösenord antecknade på PostIt-lappar kring skärmen. Många av de exempel som Kevin visar fann jag väldigt uppseendeväckande. Jag trodde aldrig att det, i många fall, kunde te sig så enkelt för en bedragare att få tag på högt säkerhetsklassad information. Enkla knep och tricks kan tydligen vara förödande för det drabbade företaget om situationen inte hanteras korrekt. Dessvärre känns boken bitvis enformig då samma saker upprepas och ofta ältas om och om igen. Det är möjligt att Kevin velat ha det så för att läsarna ska förstå vikten av säkerhetsriskerna i fråga, men att traggla samma visa om och om igen gör bara läsaren trött och ouppmärksam. Jag har personligen velat veta mer om Kevin själv, men det är inte heller bokens syfte. Det är ingen självbiografi, utan handlar om hur man hanterar den mänskliga säkerhetsfaktorn som ”punch-linen” på omslaget andragar. Kort sagt skulle man kunna säga att det är en bra och intressant bok, men man ska komma ihåg att boken varken handlar om finurliga cracker-tips för "script-kiddies" eller om hur man bäst lurar till sig pengar från banken. Det är en informativ bok för den som vill skydda sin värdfulla information och därmed sina tillgångar.
"Ta en hyllmeter säkerhetsmanualer - och glöm dem!"