(Parte 1 de 9)

Kevin Mitnick, cujas próprias façanhas o tomaram um herói absoluto do hacker conta dezenas de histórias verdadeiras de invasões cibernéticas — esquemas altamente efetivos, cruelmente inventivos, que aceleram a pulsação enquanto você se surpreende com tanta audácia. Cada uma é seguida pela análise especializada de Mitnick, que observa como o ataque poderia ter sido evitado — e ele tem qualificações incomparáveis para recomendar medidas efetivas de segurança. Sendo tanto uma lenda no submundo dos hackers quanto um general na guerra contra o crime cibernético, Kevin Mitnick possui uma arma que muito provavelmente renderá o intruso: o conhecimento profundo da mente brilhante e tenacidade do hacker.

Quatro colegas limpam Vegas usando um computador que cabia no bolso. Um adolescente canadense entediado ganha acesso à seção de transferências sem fio de um importante banco do Sul dos Estados Unidos. Dois garotos são recrutados por um terrorista que tem vínculos com Osama bin Laden para fazer uma invasão na Lockheed Martin e na Defense Information System Network. E essas histórias são verdadeiras. Se você trabalha na área de segurança em sua organização e gosta de situações tensas cheias de espiões e intriga da vida real preparese para uma leitura excitante.

KEVIN D. MITNICK & William L. Simon

As verdadeiras histórias por trás das ações de hackers, intrusos e criminosos eletrônicos

Tradução Maria Lúcia G. L. Rosa

Revisão técnica

Júlio César Rinco Consultor na área de informática — especialista em segurança

Hoenir Ribeiro da Silva Consultor na área de informática - especialista em redes

Prentice Hall

São Paulo

Brasil Argentina Colômbia Costa Rica Chile Espanto Guatemala México Peru Porto Rico Venezuela

© 2006 by Pearson Education do Brasil © 2005 by Kevin D. Mitnick e William L Simon

Tradução autorizada da edição original em inglês The art of intrusion: the real stories behind the exploits of hackers, intruders & deceivers, publicada pela Wiley Publishing, Inc, Indianapolis, Indiana.

Todos os direitos reservados. Nenhuma parte desta publicação poderá ser reproduzida ou transmitida de qualquer modo ou por qualquer outro meto, eletrônico ou mecânico, incluindo fotocópia, gravação ou qualquer outro tipo de sistema de armazenamento e transmissão de informação, sem prévia autorização, por escrito, da Pearson Education do Brasil

Gerente editorial: Roger Trimer

Editara de desenvolvimento: Marileide Gomes

Gerente de produção: Heber Lisboa

Editora de texto: Sheila Fabre Preparação: Marise Goulart

Revisão: Maria Luiza Favret, Andréa Vidal

Capa: Marcelo Françoso, sobre o projeto original de Michael E. Trent

Foto do autor: © Monty Brinton Editoração eletrônica: Figurativa Arte e Projeto Editorial

Dados Internacionais de Catalogação na Publicação (CIP) (Câmara Brasileira do Livro, SP, Brasil)

Mitnick, Kevin D., 1963 - A arte de invadir: as verdadeiras histórias por trás das ações de hackers, intrusos e criminosos eletrônicos / Kevin D. Mitnick e William L Simon ; tradução Maria Lúcia G. I. Rosa ; revisão técnica Julio César Pinto, Hoenir Ribeiro da Silva. - São Paulo : Pearson Prentice Hall, 2005.

Título original: The art of intrusion: the real stories behind the exploits of hackers, intruders & deceivers.

1. Computadores - Medidas de segurança 2. Crime por computador 3. Hackers de computadores

I. Simon, William L., I. Título: As verdadeiras histórias por trás das ações de hackers, intrusos e criminosos eletrônicos.

1. Computadores : Hackers : Segurança dos dados :

Ciência da computação 005.8 2. Hackers de computadores : Segurança dos dados : Ciência da computação 005.8

Marcas registradas: Wiley e o logotipo da Wiley são marcas registradas da John Wiley & Sons, Inc. e/ou seus associados, nos Estados Unidos e em outros países, e não devem ser usadas sem autorização por escrito.

Todas as outras marcas registradas são de seus respectivos proprietários. A Wiley Publishing Inc. não i associada a qualquer produto ou fornecedor mencionado neste livro.

Direitos exclusivos para a língua portuguesa cedidos à Pearson Education do Brasil, uma empresa do grupo Pearson Education

CEP: 05038-001 - Lapa - São Paulo - SP Tel: (1)3613-1222 - Fax: (1)361-0444 e-mail: vendas@pearsoned.com

PrefácioIX
AgradecimentosXI
1 Invadindo os cassinos por um milhão de pratas1
2 Quando os terroristas ligam21
3 A invasão na prisão do Texas43
4 Tiras e ladrões61
5 O hacker Robin Hood79
6 A sabedoria e a loucura dos pen tests9
7É claro que seu banco é seguro — certo?.......................................................119
8 Sua propriedade intelectual não está segura131
9 No continente167
10 Engenheiros sociais — como eles trabalham e como detê-los189
1 Curtas209

Prefácio

Os hackers gostam de contar vantagens entre si. É claro que um dos prêmios seria o direito de se gabar de fazer hacking no site web de minha empresa de segurança ou em meu sistema pessoal,

Outro prêmio seria poder dizer que eles inventaram uma história de hacker e a contaram para mim e para meu co-autor, Bill Simon, de modo tão convincente que caímos e a incluímos neste livro.

Este foi um desafio fascinante, um jogo de inteligência que nós dois praticamos por algum tempo, enquanto fazíamos as entrevistas para o livro. Para a maioria dos repórteres e autores, estabelecer a autenticidade de uma pessoa é uma questão razoavelmente rotineira: Esta é realmente a pessoa que afirma ser? Esta pessoa está ou estava realmente trabalhando para a organização que mencionou? Esta pessoa ocupa o cargo que diz ter na empresa? Esta pessoa tem documentação para comprovar a história e eu posso verificar a validade dos documentos? Há pessoas com reputação que darão sustentação à história no todo ou em parte?

No caso dos hackers, verificar boas intenções é complicado. Neste livro são contadas histórias de algumas pessoas que já estiveram na cadeia e de outras que enfrentariam acusações de crime qualificado se suas verdadeiras identidades pudessem ser descobertas. Por isso, querer saber o nome verdadeiro delas ou esperar que ofereçam provas é um negócio duvidoso.

Essas pessoas só revelaram suas histórias porque acreditam em mim, Elas sabem que já fiz isso e se dispuseram a confiar em mim, sabem que não vou traí-las nem colocá-las em situação delicada. Assim, apesar dos riscos, muitas apresentam provas tangíveis de seus hacks.

No entanto, é possível — na verdade, é provável — que algumas tenham exagerado nos detalhes de suas histórias para torná-las mais convincentes ou tenham inventado uma história inteira, mas sempre com base em ações ousadas que funcionam, a fim de fazê-las parecer verdadeiras.

Em razão desse risco, fomos cuidadosos para manter um alto grau de confiabilidade. Durante as entrevistas, perguntava todos os detalhes técnicos, pedia explicações mais detalhadas sobre qualquer coisa que não me parecesse muito convincente e às vezes conferia tudo mais tarde, para verificar se a história era a mesma ou se a pessoa contava uma versão diferente na segunda vez. Verificava, ainda, se ela 'não conseguia se lembrar' quando questionada sobre uma etapa difícil de executar, omitida da história, ou se simplesmente não parecia saber o suficiente para fazer o que dizia ter feito. Tentei também fazer com que explicasse como tinha ido do ponto A ao ponto B.

Exceto onde observado especificamente, todos os entrevistados das principais histórias contadas neste livro passaram pelo meu 'teste do faro', Meu co-autor e eu concordamos quanto à credibilidade das pessoas cujas histórias incluímos neste livro, No entanto, com freqüência detalhes foram mudados para proteger o hacker e a vítima. Em várias histórias, as identidades de empresas foram encobertas. Modifiquei nomes, indústrias e localizações. Em alguns casos, há informações incorre tas para proteger a identidade da vítima ou evitar a repetição do crime. Entretanto, as vulnerabilidades básicas e a natureza dos incidentes são exatas.

Ao mesmo tempo, uma vez que os projetistas de software e os fabricantes de hardware estão continuamente acertando vulnerabilidades de segurança por meio de patches e novas versões de

A arte de invadir produtos, poucas das explorações ainda funcionam conforme descrito nestas páginas. Isso poderia levar o leitor superconfiante a decidir que não precisa se preocupar, que, com os pontos vulneráveis identificados e corrigidos, ele e sua empresa estão seguros. Mas a lição que essas histórias deixam, quer tenham acontecido há seis meses, quer há seis anos, é que os hackers estão achando novos pontos vulneráveis todos os dias. Não leia o livro para descobrir pontos vulneráveis específicos em produtos específicos, mas para mudar sua atitude e assumir uma nova postura.

Leia o livro também para se divertir, se espantar e se admirar com as explorações sempre surpreendentes desses hackers, que usam a inteligência com más intenções,

Algumas são chocantes e servem de advertência, outras o farão rir com a ousadia inspirada do hacker. Se você é profissional de segurança ou da área de TI, toda história traz lições para você tornar sua organização mais segura. Se você não é um profissional, mas gosta de histórias de crime ousadas, arriscadas e que exigem sangue frio, encontrará tudo isso aqui.

Todas essas aventuras envolveram o risco de tiras, agentes do FBI e do Serviço Secreto surpreenderem as pessoas em casa com as algemas em mãos. E, em inúmeros casos, foi exatamente isso o que aconteceu.

Mas isso ainda pode acontecer. Não é de admirar que a maioria desses hackers nunca tenha se disposto a contar suas histórias antes. A maioria das aventuras que você vai ler aqui está sendo publicada pela primeira vez.

Agradecimentos

Por Kevin Mitnick

Este livro é dedicado à minha família maravilhosa, aos amigos íntimos e sobretudo às pessoas que o tornaram possível — os hackers black-hat* e white-hat**, que contribuíram com suas histórias para nossa aprendizagem e nosso entretenimento.

Escrever A arte de invadir foi um desafio ainda maior que o livro anterior. Em vez de usar nosso talento criativo para criar histórias e anedotas que ilustrassem os perigos da engenharia social e o que as empresas podem fazer para atenuá-los, tanto Bill Simon quanto eu nos baseamos em entrevistas com ex-hackers, phone phreaks e hackers que passaram a ser profissionais de segurança. Queríamos escrever um livro que fosse tanto um suspense policial quanto um guia para alertar e ajudar as empresas a proteger suas informações valiosas e seus recursos de computação. Acreditamos que, ao revelar as metodologias e técnicas comuns usadas por hackers para entrar em sistemas e redes, podemos influenciar a comunidade em geral a lidar adequadamente com os riscos e as ameaças impostos por eles.

Tenho tido a extraordinária sorte de contar com Bill Simon, autor best-seller, e trabalhamos diligentemente juntos neste novo livro. As habilidades de Bill como escritor e sua capacidade mágica de tirar informações de nossos colaboradores e escrevê-las com estilo e de modo que a avó de todo mundo é capaz de entender é notável E, mais importante, Bill tornou-se mais do que simplesmente um parceiro de negócio na redação do livro — foi um amigo fiel que estava lá, comigo, durante todo o processo de criação. Embora tivéssemos alguns momentos de frustração e diferenças de opinião durante a fase de desenvolvimento, sempre as resolvemos, para nossa satisfação. Em pouco mais de dois anos, finalmente conseguirei escrever e publicar The untold story of Kevin Mitnick (A história não revelada de Kevin Mitnick), depois que certas restrições do governo expirarem. Espero que Bill e eu possamos trabalhar juntos também nesse projeto.

A esposa maravilhosa de Bill, Arynne Simon, também tem um lugar reservado em meu coração. Aprecio o amor, a bondade e a generosidade que ela demonstrou por mim nesses últimos três anos. Minha única frustração foi não ter conseguido provar seus pratos deliciosos. Agora que o livro final mente está concluído, talvez eu possa convencê-la a preparar um jantar de comemoração!

Estive tão concentrado em A arte de invadir que não consegui ter momentos de qualidade com a família e os amigos. Acabei me tornando viciado no trabalho; alguns dias passava horas sem fim atrás do teclado, explorando os cantos obscuros do ciberespaço.

Quero agradecer à minha adorável namorada, Darci Wood, e à sua filha Briannah, que adora games, por seu apoio e paciência durante este projeto, que exigiu tanto tempo. Obrigado, querida, por todo o amor, dedicação e apoio que você e Briannah me deram durante este e outros projetos desafiadores.

*Hackers que invadem, danificam, alteram e furtam informações em benefício próprio (N. da R.T.).
**Hackers que exploram problemas de segurança, descobrem falhas em sistemas e as divulgam abertamente

para que sejam corrigidas (N. da R.T.).

A arte de invadir

Este livro não teria sido possível sem o amor e o apoio de minha família. Minha mãe, Shelly Jaffe, e minha avó, Reba Vartanian, me deram amor e apoio incondicionais durante toda a vida. Sou feliz por ter sido criado por uma mãe tão afetuosa e dedicada, que também considero minha melhor amiga. Minha avó tem sido como uma segunda mãe, dando-me amor e cuidados que em geral só uma mãe consegue dar. Ela me ajudou muito na condução de alguns negócios, o que muitas vezes interferiu em sua rotina. Em todo caso, ela deu prioridade às minhas coisas mesmo quando era inconveniente fazer isso. Obrigado, vó, por ter me ajudado no trabalho sempre que precisei de você. Pessoas atenciosas e compreensivas, minha mãe e minha avó me ensinaram os princípios de se importar com os outros e de estender a mão aos menos afortunados. E, assim, imitando o padrão de dar e se importar com os outros, de certo modo eu sigo a trilha da vida delas. Espero que elas me perdoem por tê-las deixado de lado enquanto escrevia este livro, renunciando às oportunidades de vê-las devido ao trabalho e aos prazos que eu precisava cumprir. Este livro não teria sido possível sem seu amor e apoio constantes, que guardarei para sempre em meu coração.

Como eu gostaria que meu pai, Alan Mitnick, e meu irmão, Adam Mitnick, estivessem vivos para abrir uma garrafa de champanhe comigo no dia em que nosso segundo livro aparecesse numa livraria. Como vendedor e empresário, meu pai me ensinou muitas das melhores coisas de que nunca me esquecerei.

O falecido namorado de minha mãe, Steven Knittle, foi como um pai para mim nos últimos doze anos.

Sentia-me muito tranqüilo em saber que você estava sempre lá para cuidar de minha mãe quando eu não podia fazer isso. Seu falecimento teve um impacto profundo em nossa família. Sentimos falta do humor, da risada e do amor que você trouxe para nossa família. Descanse em paz.

Minha tia, Chickie Leventhal, sempre teve um lugar especial em meu coração. Nos últimos anos, nossos vínculos familiares se fortaleceram e nossa relação tem sido maravilhosa. Sempre que preciso de um conselho ou de um lugar para ficar, ela está lá, oferecendo seu amor e apoio. Durante o período em que me dediquei intensamente a escrever este livro, sacrifiquei muitas oportunidades de estar junto dela, de minha prima, Mitch Leventhal, e de seu namorado, Dr. Robert Berkowitz, em nossas reuniões familiares.

Meu amigo Jack Biello era uma pessoa afetuosa e carinhosa que criticava os maus-tratos que recebi de jornalistas e de promotores públicos. Ele foi fundamental no movimento Free Kevin (Silvestem Kevin) e um escritor de um talento extraordinário para escrever artigos contundentes nos quais expunha o que o governo não queria que vocês soubessem. Jack estava sempre lá para falar sem medo em meu nome e para trabalhar junto comigo, preparando discursos e artigos. Certa vez, me representou na mídia. O falecimento de Jack, na época em que eu estava terminando de escrever A arte de enganar, me fez sentir enorme sensação de perda e tristeza. Embora isso já tenha acontecido há dois anos, ele está sempre em meus pensamentos.

(Parte 1 de 9)

Comentários