e tanto ódio como as nossas boas qualidades."
(François La Rochefoucauld)
Tsutomu Shimomura é (ou era) uma figura conhecida da segurança da informação nos anos finais do século passado. Mundialmente conhecido como o profissional de segurança da informação que caçou e prendeu o lendário Kevin Mitnick, Shimomura escreveu um livro sobre essa caçada que entrou para os anais de livros de segurança da informação.
Conhecer a história do hacking e seus personagens é um diferencial que poucos 'hackers' atuais tem interesse em obter. Foi me dito, recentemente, que numa competição estilo Jeopardy num evento de segurança, perguntaram o que significava cDc e ninguém soube responder. Na minha geração, isso seria considerado heresia. Mas os tempos são outros.
Eu vivenciei um período fantástico do hacking e seu crescimento para se tornar um fenômeno de massas. Pertenço a um tempo em que histórias sobre invasões, invasores e técnicas de ataques eram compartilhadas de uma forma ingênua e não se pensava em grana nessa época. Pelo menos, nem todos pensavam em grana.
Nessa época, Tsutomu Shimomura era visto por membros da comunidade de segurança como um às da segurança da informação. Já por hackers, ele era visto como uma fraude. Ao ler seu livro - Takedown - The Pursuit and Capture of Kevin Mitnick, America's Most Wanted Computer Outlaw - by The Man Who Did It - escrito com John Markoff, fica claro que o japonês é realmente muito inteligente, mas quem entende de segurança da informação tem alguns questionamentos.
A forma como se deu a invasão foi via IP Spoof em serviços r* (rsh e rlogin). Acontece que nesse época já se usava telnet e ftp, que eram alternativas mais seguras para esse tipo de operação. Por que ele não usou essas alternativas?
As máquinas de Shimomura rodavam em cima de NFS, que era um serviço conhecidamente vulnerável que permitia montagem remota de diretórios/sistema de arquivos(tive várias experiências com faculdades públicas através da edição de UID de um usuário, seguida de solicitação remota do fylesystem, isso tudo no século passado).
Deixar o seu ambiente expostos dessa forma, nos leva a seguinte indagação sobre o Shimomura:
- Ou ele cometeu erros básicos ou montou uma armadilha para pegar um hacker;
A história tem demonstrado que de fato, ele cometeu erros básicos de segurança que o fizeram ser vitimado. É normal cometermos erros e também é normal alguém ter sua conta, computador ou dados invadidos.
O livro narra toda essa questão do ponto de vista de Shimomura. Esse livro poderia ter 1/4 do volume, se não fosse as histórias dele sobre a namorada e muito, mas muito conteúdo fora do tema.
Mas vale a pena a leitura, para poder comparar com outros livros que foram escritos sobre o mesmo tema(em breve vou citar mais dois).
Hoje em dia, vivemos uma glamourização do hacking em alto grau. Mas essas história antigas ainda nos ensinam sobre perspicácia, malícia e como resolver problemas num mundo real.
Ae grande Nash! Tudo em paz? Jerry Slater aqui, ainda lembra dos velhos amigos? Forte abraço.
ResponderExcluirFala Dr. Jerry Slater!! Entre em contato.. você sabe como me achar.. Um abraço.
ExcluirMuito interessante essa síntese sobre um dos personagens da história do hacking.
ResponderExcluir