Tietoturva

Valikko

Kevin Mitnick: Linkedin on murtautujan paras työkalu

Kun tietomurto perustuu ihmisten harhauttamiseen, on onnistumisprosentti pelottavan korkea.
Tietojärjestelmiin voi tunkeutua useammalla tavalla. Yksi on perinteinen tietotekninen hyökkäys, jossa järjestelmiin tunkeudutaan ulkoa käsin tietoturva-aukkojen kautta tai sisältä käsin järjestelmään ujutetun haittaohjelman kautta.

Tämän lisäksi on olemassa tapa, joka ei kirjaudu lokitiedostoihin, on käyttöjärjestelmäriippumaton ja edullinen sekä onnistumisprosentiltaan korkea, eikä aukkoa voi tukkia ohjelmistopäivityksin.

Tekniikan nimi on social engineering, joka käännetään yleensä suomeksi käyttäjän manipuloimiseksi. Tällä tarkoitetaan käyttäjän manipuloimista, huijaamista ja vaikutusvallan käyttämistä tähän. Tältä pyritään saamaan salaisia tietoja tai saamaan pääsy niihin.

Onnistuu
melkein aina


Maailman hakkereista ehkä tunnetuin, Kevin Mitnick, on rikollisen uransa jälkeen alkanut tehdä turvatestauksia yrityksille käyttäen samoja menetelmiä, joilla hän aikoinaan murtautui järjestelmiin. Nyt hän kiertää testaamisen ohella ympäri maailmaa puhumassa ihmisten jallittamisesta.

Digitoday kuunteli Mitnickin esityksen Reaktor Dev day 2013 -tapahtumassa ja esitti miehelle kysymyksiä puheen jälkeen.

Suomalaisten parhaiten tunteman murron, eli Nokian järjestelmiin tunkeutumisen 1990-luvulla, Mitnick teki juuri ihmisiä manipuloimalla. Tekeytymällä yhtiön työntekijäksi hän sai Nokian Britannian-toimistolta käyttäjätunnukset yhtiön Salon-palvelimille, joissa säilytettiin puhelimien lähdekoodeja.

Menetelmä ei ole vanhentunut vieläkään. Mitnickin mukaan sen teho on hämmästyttävän suuri.

– En ole tähän mennessä kertaakaan epäonnistunut. Samaa sanovat alalla turvatestausta tekevät kollegani, Mitnick vastaa Digitodayn kysymykseen.

Korkea onnistumisprosessi perustuu siihen, että yhden ihmisen vipuun saaminen riittää. Jos tarvittavia tietoja ei saa yhdeltä ihmiseltä, nämä saattaa saada tämän työkaverilta. Yhtiön tietoturva käyttäjän manipulointia vastaan on yhtä vahva kuin yhtiön hyväuskoisin työntekijä.

Ex-krakkerin mukaan käyttäjien manipulointihyökkäyksiltä on käytännössä mahdoton suojautua. Parhaimmillaankin yritys voi tehdä sen vain sen verran vaikeaksi, että hyökkääjä iskee sinne, mistä saa haluamansa helpommalla. 

Myyjät myyvät
ja paljastavat


Yritysten tietoisuus social engineeringistä lisääntyy, mutta harhauttamisen tavat kehittyvät myös. Useimmissa yhtiöissä helpdeskin työntekijäksi tekeytyminen ja salasanan kyseleminen käyttäjältä puhelimitse ei enää onnistu.

Sen sijaan tunkeutujat saattavat selvittää firman, jonka asiakas tunkeutumisen kohteena oleva yritys on. Kohteen käyttämien työasemien tai tietoturvaohjelmistojen valmistajan saa selville soittelemalla valmistajille ja tekeytymällä murron kohteena olevan firman asiakkaaksi. Vastaus on yleensä vain muutaman puhelinsoiton päässä.

– Myyjät haluavat myydä lisää, ja siksi he vastaavat kysymyksiin auliisti, Mitnick kertoo havainnostaan.

Saatuaan kohteestaan jonkin verran tietoa, voi hyökkääjä olla tähän yhteydessä. Sitä esitellessään yhtiön työntekijät helppo saada uskomaan, että hyökkääjä on luotettava ja oikealla asialla. Saatuaan tällä tavoin jalan oven väliin, murtautuja saa yhteydenpidon jatkuessa ennen pitkää luottamuksellista tietoa.




– Järjestelmään tunkeudutaan sosiaalisin keinoin ja kun ollaan sisällä, käytetään hakkerointityökaluja, Mitnick selittää. 

Ihmisten hyväuskoisuutta voidaan käyttää myös laitteistopohjaisiin hyökkäyksiin.

Yritysten tietohallinnot ovat tuntevat nykyisin Stuxnet-hyökkäyksissä käytetyn muistitikkutempun. Useimmat työntekijät tuskin enää tökkäisivät konttorin edessä ajelehtinutta muistitikkua kiinni työasemaansa.

Mutta moniko osaisi epäillä firman työasemat toimittavalta yhtiöltä tulleiden näppäimistöjen luotettavuutta? Kun hakkeri on selvittänyt työasemien valmistajan, on tämän nimissä helppo lähettää yritykseen erä näppäimistönauhureilla varustettuja näppäimistöjä.


Linkedin on
hyökkääjän ystävä


Social engineering -hyökkäyksessä organisaation tuntemus on välttämätöntä. Tämän yhtiöt tekevät helpoksi listaamalla verkkosivuillaan avainhenkilöt yhteystietoineen.

Mitnick kehuu Linkediniä korvaamattomaksi työkaluksi kartoituksen tekemisessä, sillä sen avulla on helppo löytää järjestelmäylläpitäjät, verkonvalvojat ja sovelluskehittäjät, joiden pääkäyttäjätunnukset ovat kullanarvoisia murtautumisessa.

Usein yhtiöihin on helpointa iskeä näille työskentelevien freelancerien kautta. Nämä käyttävät usein samoja tietokoneita yritysverkossa ja muussa käytössä. Istuttamalla tällaiselle koneelle haittaohjelman, saa sen ujutettua yleensä myös yritysverkkoon.

Mitnick kehuu Linkediniä myös freelancereiden löytämisessä. Ihmisten halu ylläpitää cv:tään auttaa tunkeutujia työssään.

Yrityksen rakenteen tunteminen auttaa myös räätälöidyissä hyökkäyksissä. Pomolta sähköpostitse tullutta pdf:ää tai palkkahallinnon nimissä olevaa Excel-tiedostoa osaston palkoista ei kovin moni jättäisi avaamatta. Se yksi klikkaus murtautujan väärentämässä sähköpostiviestissä riittää haittaohjelmatartunnan saamiseen.

Kommentit

    Näytä lisää

    Näitä luetaan!

    1. 1

      Tv-katsojat hieraisivat silmiään: Anssi Kela näkyi neljällä kanavalla yhtä aikaa – ”Onko tässä enää mitään tolkkua”

    2. 2

      Näin Suomi kikyttää – eri alojen työntekijät kertovat, kuinka kiky-tunnit käytetään: ”Käymällä vessassa ajan kanssa tai keittämällä kahvit”

    3. 3

      Haiseeko pyykkisi pahalta pesun jälkeen? Näin pääset hajuista eroon

    4. 4

      Diabetes on hiipivä sairaus – tunnista 20 kavalaa merkkiä

    5. 5

      Donald Trump kommentoi vihdoin Oscar-gaalan tapahtumia – ”Surullista”

    6. 6

      Hai vei koiran vain viiden metrin päässä rannasta Sydneyssä – ”Se oli hirveää”

    7. 7

      Se hetki, kun Ryan Gosling tajuaa virheen – näyttelijältä verraton reaktio Oscar-sekoiluun

    8. 8

      Joillakin uni tulee minuuteissa – näillä vinkeillä olet yksi heistä

    9. 9

      ”Uimarenkaat omasta takaa” Katri Sorsan rehellinen kuva kertoo enemmän kuin tuhat sanaa

    10. 10

      Menettikö Suomi varman mitalin sunnuntaina? Krista Pärmäkoskelta napakka vastaus

    11. Näytä lisää
    1. 1

      Sliipatun pukumiehen kodista paljastui mykistävä yllätys – toukat ryömivät isännöitsijää vastaan

    2. 2

      ”Uimarenkaat omasta takaa” Katri Sorsan rehellinen kuva kertoo enemmän kuin tuhat sanaa

    3. 3

      Petter Northugin viesti tv-kameran edessä Emil Iversenille: ”Hyvä, että kaadoit myös suomalaisen”

    4. 4

      Diabetes on hiipivä sairaus – tunnista 20 kavalaa merkkiä

    5. 5

      Norjalaiset raivostuivat Emil Iversenin nöyryyttämisestä suorassa lähetyksessä

    6. 6

      Helsinkiläismies eli niin kuin naistenlehdissä kehotettiin – tässä kuvassa hän lataa kotona akkuja

    7. 7

      Skandaali Oscareissa! Väärä elokuva julistettiin voittajaksi – paras elokuva olikin Moonlight

    8. 8

      Aino-Kaisa Saarinen kertoo hetkestä, jolloin hänen unelmansa romahti: ”Vastauksena oli hiljaisuus”

    9. 9

      Nokian murhaepäily: 17-vuotiaan tytön kuolinsyy selvisi

    10. 10

      Mieti ennen kuin ostat: Uudesta Nokia 3310 -puhelimesta paljastui paha puute

    11. Näytä lisää
    1. 1

      Julkkiksilta sataa tukea rumaksi haukutulle Maria Veitolalle – Rakel Liekiltä tyhjentävä kommentti

    2. 2

      Helsinkiläinen Nina, 44, avautuu isäpuolen järkyttävistä teoista: ”Äiti katseli vierestä, mutta ei koskaan puuttunut”

    3. 3

      Kummisetä antoi 10-vuotiaalle tyttärelle lahjarahaa – Kela rokotti koko perheeltä 341,52 euroa/kk

    4. 4

      Traaginen onnettomuus Helsingissä – työkoneen kauha osui kävelijään, nainen kuoli vammoihinsa

    5. 5

      Marika saa Espanjassa pitkiä katseita – suomalaiset nimet, jotka eivät toimi ulkomailla

    6. 6

      Tarkista ja kuuntele: Mikä oli Suomen listaykkösenä, kun sinä synnyit?

    7. 7

      Yleinen virhe wc-pöntöllä: Tästä syystä pyttyyn jää helposti ”jarrutusjäljet”

    8. 8

      4 eri mitoilla varustettua miestä avautuu seksielämästään: ”Teen parhaani sillä, mitä minulla on”

    9. 9

      Anu Saagim haukkui Maria Veitolaa rumaksi suorassa lähetyksessä – Veitola harmistui studioyleisön reaktiosta: ”Yleisö nauraa ja taputtaa”

    10. 10

      Katri Sorsalta kuitti Anu Saagimille: ”Eestissä nainen näyttää herättyään tältä, meillä Suomessa tältä...”

    11. Näytä lisää

    Näitä luetaan!

    1. 1

      Tv-katsojat hieraisivat silmiään: Anssi Kela näkyi neljällä kanavalla yhtä aikaa – ”Onko tässä enää mitään tolkkua”

    2. 2

      Näin Suomi kikyttää – eri alojen työntekijät kertovat, kuinka kiky-tunnit käytetään: ”Käymällä vessassa ajan kanssa tai keittämällä kahvit”

    3. 3

      Haiseeko pyykkisi pahalta pesun jälkeen? Näin pääset hajuista eroon

    4. 4

      Diabetes on hiipivä sairaus – tunnista 20 kavalaa merkkiä

    5. 5

      Donald Trump kommentoi vihdoin Oscar-gaalan tapahtumia – ”Surullista”

    6. Näytä lisää
    1. 1

      Sliipatun pukumiehen kodista paljastui mykistävä yllätys – toukat ryömivät isännöitsijää vastaan

    2. 2

      ”Uimarenkaat omasta takaa” Katri Sorsan rehellinen kuva kertoo enemmän kuin tuhat sanaa

    3. 3

      Petter Northugin viesti tv-kameran edessä Emil Iversenille: ”Hyvä, että kaadoit myös suomalaisen”

    4. 4

      Diabetes on hiipivä sairaus – tunnista 20 kavalaa merkkiä

    5. 5

      Norjalaiset raivostuivat Emil Iversenin nöyryyttämisestä suorassa lähetyksessä

    6. Näytä lisää
    1. 1

      Julkkiksilta sataa tukea rumaksi haukutulle Maria Veitolalle – Rakel Liekiltä tyhjentävä kommentti

    2. 2

      Helsinkiläinen Nina, 44, avautuu isäpuolen järkyttävistä teoista: ”Äiti katseli vierestä, mutta ei koskaan puuttunut”

    3. 3

      Kummisetä antoi 10-vuotiaalle tyttärelle lahjarahaa – Kela rokotti koko perheeltä 341,52 euroa/kk

    4. 4

      Traaginen onnettomuus Helsingissä – työkoneen kauha osui kävelijään, nainen kuoli vammoihinsa

    5. 5

      Marika saa Espanjassa pitkiä katseita – suomalaiset nimet, jotka eivät toimi ulkomailla

    6. Näytä lisää