Tietoturva

Valikko

Social engineering: mitä se on?

Luvaton tunkeutuminen tietojärjestelmään ei välttämättä edellytä tietokoneen avulla tehtyä murtoa, vaan muitakin keinoja käytetään. Taitava hämärämies voi käyttää hyväkseen erilaisia taivuttelu- ja hämäystekniikoita saadakseen yrityksen varomattoman työntekijän avaamaan pääsyn luottamuksellisiin tietoihin.
Tietomurroista puhuttaessa tarkoitetaan yleensä sähköisesti toteutettua luvatonta tunkeutumista tietojärjestelmään. Pari viikkoa sitten otsikoissa oli vantaalaiskaksikko, joka ennätti murtautua satoihin kohteisiin ennen kiinnijäämistään.

Huomattavasti vähemmälle huomiolle ovat jääneet tapaukset, joissa yrityksen tärkeitä tietoja on päässyt vääriin käsiin muilla tavoin. Sen lisäksi, että työntekijät voivat vuotaa tietoja omasta tahdostaan, heitä voidaan myös huijata tai suostutella luovuttamaan niitä ulkopuolisille.

Selvähän se, ettei näistä tapauksista juuri puhuta: kohteena on miltei poikkeuksetta suuri yritys, joka pelkää kasvojensa menettämistä ja julkisuuskuvansa tahriintumista. Silti tapauksia sattuu etenkin suuressa maailmassa, jopa niin, ettei kohdeyhtiö edes tiedä joutuneensa uhriksi.

Työntekijään voidaan urkkimismielessä vaikuttaa lukemattomilla tavoilla, mutta tavoite on aina sama: saada hänet antamaan sellaista tietoa, joka avaa tunkeutujalle pääsyn yrityksen tietojärjestelmään.

Englanniksi näitä keinoja kutsutaan nimellä social engineering. Suomen kieleen ei vielä ole vakiintunut ilmiötä tarkoittavaa sanaa. Tuoreessa tietomurtoja käsittelevässä kirjassa Hakkeroinnin torjunta - Uusimmat salaisuudet ja ratkaisut käytetään termiä taivuttelumenetelmä, joka ei kuitenkaan kata kaikkia social engineering -hyökkäysten osa-alueita.

Mennäänkö ovesta...

Yhden määritelmän mukaan social engineering -termi laajemmassa merkityksessään käsittää fyysisen puolen, siis sen, missä tietojen hankinta tapahtuu, ja psykologisen puolen eli tavan, jolla ne saadaan.

Tyypillisesti yritysten tietoturva-ajattelussa panostetaan fyysisen puolen uhkilta suojautumiseen. Järjestelmän suojana on laitteita ja ohjelmia, joiden tarkoituksena on pitää ulkopuoliset yritysverkon ja yrityksen toimitilojen ulkopuolella.

Tässä suhteessa parantamisen varaa olisi paljon. Suomalaisyrityksiinkin saattaa asiaankuulumaton onnistua lampsimaan sisään pääoven kautta. Mukaan voi tarttua salasanoja tai vaikka kannettava tietokone.

- Luulen, että monissa suomalaisyrityksissäkin menee ihan täydestä, kun kävelee sisään puhelinyhtiön lippalakki päässä, latelee tekniseltä kuulostavia termejä ja selittää jotakin toimimattomista yhteyksistä, sanoo Cygaten verkkoasiantuntija Mikko Tammiruusu.

Tammiruusun mielestä kunnollisten tietoturvakäytäntöjen käyttöönotto on toimivan tietoturvan ehdoton edellytys.

- Tietoturvakoulutus on nykyisin liian laitekeskeistä. Ilman kunnollista ja toimivaa tietoturvapolitiikkaa työntekijät eivät tule ajatelleeksi turvallisuuteen liittyviä asioita, Tammiruusu toteaa.

Tammiruusun mukaan erityisen alttiita urkkijoille ovat yliopistot, joissa ihmisiä liikkuu paljon eikä kulunvalvonta ole aina kovin tehokkaasti toteutettu.

...vai kilautetaanko kaverille?

Social engineering -termin suppeampi merkitys käsittää psykologiset vaikuttamiskeinot. Järjestelmän tietoja mielivällä on käytettävissään erilaisia urkkimistapoja, joiden teho perustuu ihmisen luontaisiin taipumuksiin, kuten haluun miellyttää toisia.

Krakkeri voi esimerkiksi hankkia tietoonsa yritysjohtoon kuuluvien nimiä. Sitten hän voi soittaa alemmassa asemassa olevalle yhtiön työntekijälle ja esitellä itsensä liikematkalla olevaksi johtajaksi joka tarvitsee nopeasti vaikkapa jonkin salasanan, joka on päässyt unohtumaan.

Halu miellyttää johtavassa asemassa olevaa sekä toisaalta toivo oman aseman paranemisesta pomolle tehdyn palveluksen seurauksena voivat saada työntekijän luovuttamaan arkaluontoistakin tietoa.

Joskus pelkkä ystävällinen puhe tai imartelu saattaa antaa avaimet yrityksen kaikkein pyhimpään. Toisaalta tunkeutuja voi tekeytyä tietämättömäksikin, jolloin uhri "pääsee auttamaan" häntä.

Reverse social engineering

Murtautujalle urkkiminen ei kuitenkaan ole aivan riskitöntä; liika uteleminen tai ylenpalttinen lipevyys voi herättää epäilyksiä.

Turvallisempi, joskin samalla paljon työteliäämpi tapa kalastaa tietoja on kääntää psykologinen asetelma ylösalaisin. Murtomies voi järjestelmään päästyään hankkiutua asemaan, jossa hänen ei tarvitse urkkia tietoja, vaan työntekijät ottavat häneen yhteyttä.

Tietomurroista kirjoittava Rick Nelson on esittänyt tekstissään Methods of Hacking: Social Engineering esimerkin, jossa hän esittelee käänteisen taivuttelumenettelyn (reverse social engineering) kolme vaihetta. Murtomies on ensin pääsyt käsiksi työntekijän työasemaan ja ujuttanut siihen jotakin, joka saa koneen näyttämään epäkuntoiselta. Nelson kutsuu tätä toimintaa sabotaasiksi.

Tunkeutuja huolehtii siitä, että sabotaasin uhri ottaa ongelman huomattuaan yhteyttä juuri häneen. Sen hän voi tehdä esimerkiksi jättämällä sopivasti käyntikorttinsa uhrin löydettäväksi tai lisäämällä yhteystietonsa työaseman näyttämiin virheilmoituksiin. Tämä osa on mainostaminen.

Kolmas vaihe, auttaminen, onkin jo varsin helppo toteuttaa, koska tunkeutuja itse on ongelman tietoisesti luonutkin. Autettava tuumaa, että tunkeutuja ilmeisesti osaa korjata ongelman ja antaa tälle auliisti käyttäjätunnuksensa ja salasanansa. Näin hämärämies on päässyt järjestelmään.

Miksi social engineering?

Taivuttelu-, huijaus- ja hämäyskeinojen käyttö on krakkerille monella tavoin houkuttelevampaa kuin "perinteisten" tietomurtojen tekeminen.

Ensinnäkin yritykset, ainakin suuret ja murtomiehen kannalta houkuttelevat sellaiset, suojaavat nykyisin verkkonsa muun muassa palomuureilla ja tunkeutumisen tunnistavilla IDS-järjestelmillä. Tietomurtojen tekeminen vaatii siis teknistä osaamista.

Toiseksi, vaikka krakkerilla olisi taito murtautua yrityksen sisäiseen verkkoon, saattaa olla helpompaa ja huomattavasti nopeampaa hankkia tarvittava tieto yksinkertaisesti soittamalla kohdeyritykseen ja pyytämällä sitä.

Social engineering -hyökkäyksen onnistuminen ei myöskään ole riippuvainen siitä, minkälaisia laitteita ja mitä käyttöjärjestelmiä kohteessa käytetään. Siksi tällaiset hyökkäykset ovat sähköisiä tietomurtoja vaikeampia torjua ja havaita.

Mikä neuvoksi?

Tammiruusun mukaan social engineering on tietoturvariski myös Suomessa, vaikka paljon suurempaa uhkaa tällä hetkellä edustavatkin helppokäyttöisillä työkaluohjelmilla toteutettavat palvelunestohyökkäykset.

Hän pitää todennäköisenä sitä, että taivuttelu- ja huijausmenetelmillä voisi päästä pitkälle siinä tietoturvatilanteessa, jossa suomalaiset yritykset tällä hetkellä ovat.

Yrityksen tietoturvan heikoin lenkki on ihminen; parhaillakaan laitteilla ja ohjelmistoilla ei voida toteuttaa tehokasta tietoturvaa, jos työntekijöillä ei ole selvää kuvaa siitä, miten asiat pitäisi hoitaa.

Erityisen tärkeitä oikeat toimintatavat ovat suurissa yrityksissä, joissa henkilökuntaan kuuluvat eivät tunne toisiaan. Juuri isoihin yrityksiin social engineering -hyökkäykset suunnataankin.
Siksi tärkeintä olisikin luoda selkeä tietoturvakäytäntö, jota jokainen työntekijä myös noudattaa.

Kaiken laiteturvallisuuden lisäksi varovaisuus pitäisi ulottaa ihmisiin. Kuten Nokiaankin aikoinaan murtautunut krakkeri Kevin Mitnick on todennut, tietoturvateknologiaan voi upottaa kokonaisen omaisuuden, mutta silti järjestelmä on altis urkkijalle.

Kommentit

    Näytä lisää

    Näitä luetaan!

    1. 1

      Perhetragedia taustalla – MM-kisojen johtoon äkillinen muutos

    2. 2

      Pelastajien kuvat kertovat lohduttomasta urakasta: 17-vuotias suomalaisnuori putosi Alpeilla jäärotkoon ja kuoli

    3. 3

      Kimmo kuvasi tulipallon Nurmijärven taivaalla – Mitä palavaa putosi?

    4. 4

      Poliisin kuvat: palkitun kissakasvattajan pakastimesta löytyi karmea yllätys – ”Pyörryin, kun sain puhelun”

    5. 5

      Siwojen ja Valintatalojen yt:t päättyivät: 51 kauppaa lopettaa, 206 työpaikkaa katoaa

    6. 6

      Upea pari! Tässä on Minka Kuustosen komea näyttelijärakas – yhdessä jo vuosia

    7. 7

      Venezuelan kohuhiihtäjä Adrián Solano vastaa huijaussyytöksiin: Esitti lentoliput todisteeksi tarinastaan

    8. 8

      Pelottava totuus näkyi Jouko Turkasta jo naamasta

    9. 9

      Aloittelijoiden räpiköinti MM-laduilla ärsytti – Juha Miedolta tiukkaa tekstiä

    10. 10

      Suomalaismies aikoo miljonääriksi 500 päivässä – näin hän sen tekee

    11. Näytä lisää
    1. 1

      Julkkiksilta sataa tukea rumaksi haukutulle Maria Veitolalle – Rakel Liekiltä tyhjentävä kommentti

    2. 2

      Nämä kuitit kannattaa säästää – ”Silloin kuittien on löydyttävä”

    3. 3

      Lauri, 30, kertoo miksi pettää vaimoaan Tinder-naisten kanssa: ”En tunne minkäänlaista syyllisyyttä”

    4. 4

      Näitä tuotteita Suomen vaarallisimmat vangit himoitsevat selleihinsä Riihimäen vankilan omasta kaupasta

    5. 5

      Traaginen onnettomuus Helsingissä – työkoneen kauha osui kävelijään, nainen kuoli vammoihinsa

    6. 6

      Poliisin kuvat: palkitun kissakasvattajan pakastimesta löytyi karmea yllätys – ”Pyörryin, kun sain puhelun”

    7. 7

      Suomalaismies aikoo miljonääriksi 500 päivässä – näin hän sen tekee

    8. 8

      Tuskien taival: Kohutun Adrian Solanon MM-hiihto alkoi karmealla tavalla – matka jäi lopulta kesken

    9. 9

      ”Maailman täydellisin nainen” Kelly, 37, paljastaa luomukurvinsa kiusoittelevassa kylpykuvassa: ”Täydellinen tiimalasivartalo”

    10. 10

      Tv-tähden sekava käytös ihmetytti aamu-tv:ssä – oliko muoti-idoli humalassa? Syljeskeli ja selasi puhelintaan, somekansa äimistyi

    11. Näytä lisää
    1. 1

      Julkkiksilta sataa tukea rumaksi haukutulle Maria Veitolalle – Rakel Liekiltä tyhjentävä kommentti

    2. 2

      MTV: Saara Aalto kärsii kiusallisesta ja kivuliaasta naistentaudista: ”Ei parannuskeinoa”

    3. 3

      Kummisetä antoi 10-vuotiaalle tyttärelle lahjarahaa – Kela rokotti koko perheeltä 341,52 euroa/kk

    4. 4

      Pekka Vähäsöyrinki tunnusti Mika Myllylän haudalla, milloin dopinginkäyttö alkoi: ”Siinä hetkessä annoin periksi”

    5. 5

      Traaginen onnettomuus Helsingissä – työkoneen kauha osui kävelijään, nainen kuoli vammoihinsa

    6. 6

      Stubb opetti Trumpille faktoja Ruotsista – viesti sytytti kiivaan keskustelun

    7. 7

      Kanadan hurmuriministeri sai Ivanka Trumpin pasmat sekaisin – flirttaileva kuva leviää vauhdilla

    8. 8

      Yleinen virhe wc-pöntöllä: Tästä syystä pyttyyn jää helposti ”jarrutusjäljet”

    9. 9

      Anu Saagim haukkui Maria Veitolaa rumaksi suorassa lähetyksessä – Veitola harmistui studioyleisön reaktiosta: ”Yleisö nauraa ja taputtaa”

    10. 10

      Nokialla pahoinpidelty 17-vuotias tyttö on kuollut

    11. Näytä lisää

    Näitä luetaan!

    1. 1

      Perhetragedia taustalla – MM-kisojen johtoon äkillinen muutos

    2. 2

      Pelastajien kuvat kertovat lohduttomasta urakasta: 17-vuotias suomalaisnuori putosi Alpeilla jäärotkoon ja kuoli

    3. 3

      Kimmo kuvasi tulipallon Nurmijärven taivaalla – Mitä palavaa putosi?

    4. 4

      Poliisin kuvat: palkitun kissakasvattajan pakastimesta löytyi karmea yllätys – ”Pyörryin, kun sain puhelun”

    5. 5

      Siwojen ja Valintatalojen yt:t päättyivät: 51 kauppaa lopettaa, 206 työpaikkaa katoaa

    6. Näytä lisää
    1. 1

      Julkkiksilta sataa tukea rumaksi haukutulle Maria Veitolalle – Rakel Liekiltä tyhjentävä kommentti

    2. 2

      Nämä kuitit kannattaa säästää – ”Silloin kuittien on löydyttävä”

    3. 3

      Lauri, 30, kertoo miksi pettää vaimoaan Tinder-naisten kanssa: ”En tunne minkäänlaista syyllisyyttä”

    4. 4

      Näitä tuotteita Suomen vaarallisimmat vangit himoitsevat selleihinsä Riihimäen vankilan omasta kaupasta

    5. 5

      Traaginen onnettomuus Helsingissä – työkoneen kauha osui kävelijään, nainen kuoli vammoihinsa

    6. Näytä lisää
    1. 1

      Julkkiksilta sataa tukea rumaksi haukutulle Maria Veitolalle – Rakel Liekiltä tyhjentävä kommentti

    2. 2

      MTV: Saara Aalto kärsii kiusallisesta ja kivuliaasta naistentaudista: ”Ei parannuskeinoa”

    3. 3

      Kummisetä antoi 10-vuotiaalle tyttärelle lahjarahaa – Kela rokotti koko perheeltä 341,52 euroa/kk

    4. 4

      Pekka Vähäsöyrinki tunnusti Mika Myllylän haudalla, milloin dopinginkäyttö alkoi: ”Siinä hetkessä annoin periksi”

    5. 5

      Traaginen onnettomuus Helsingissä – työkoneen kauha osui kävelijään, nainen kuoli vammoihinsa

    6. Näytä lisää