Tietoturva

Social engineering: mitä se on?

Julkaistu:

Luvaton tunkeutuminen tietojärjestelmään ei välttämättä edellytä tietokoneen avulla tehtyä murtoa, vaan muitakin keinoja käytetään. Taitava hämärämies voi käyttää hyväkseen erilaisia taivuttelu- ja hämäystekniikoita saadakseen yrityksen varomattoman työntekijän avaamaan pääsyn luottamuksellisiin tietoihin.
Tietomurroista puhuttaessa tarkoitetaan yleensä sähköisesti toteutettua luvatonta tunkeutumista tietojärjestelmään. Pari viikkoa sitten otsikoissa oli vantaalaiskaksikko, joka ennätti murtautua satoihin kohteisiin ennen kiinnijäämistään.

Huomattavasti vähemmälle huomiolle ovat jääneet tapaukset, joissa yrityksen tärkeitä tietoja on päässyt vääriin käsiin muilla tavoin. Sen lisäksi, että työntekijät voivat vuotaa tietoja omasta tahdostaan, heitä voidaan myös huijata tai suostutella luovuttamaan niitä ulkopuolisille.

Selvähän se, ettei näistä tapauksista juuri puhuta: kohteena on miltei poikkeuksetta suuri yritys, joka pelkää kasvojensa menettämistä ja julkisuuskuvansa tahriintumista. Silti tapauksia sattuu etenkin suuressa maailmassa, jopa niin, ettei kohdeyhtiö edes tiedä joutuneensa uhriksi.

Työntekijään voidaan urkkimismielessä vaikuttaa lukemattomilla tavoilla, mutta tavoite on aina sama: saada hänet antamaan sellaista tietoa, joka avaa tunkeutujalle pääsyn yrityksen tietojärjestelmään.
MAINOS (TEKSTI JATKUU ALLA)
MAINOS PÄÄTTYY

Englanniksi näitä keinoja kutsutaan nimellä social engineering. Suomen kieleen ei vielä ole vakiintunut ilmiötä tarkoittavaa sanaa. Tuoreessa tietomurtoja käsittelevässä kirjassa Hakkeroinnin torjunta - Uusimmat salaisuudet ja ratkaisut käytetään termiä taivuttelumenetelmä, joka ei kuitenkaan kata kaikkia social engineering -hyökkäysten osa-alueita.

Mennäänkö ovesta...

Yhden määritelmän mukaan social engineering -termi laajemmassa merkityksessään käsittää fyysisen puolen, siis sen, missä tietojen hankinta tapahtuu, ja psykologisen puolen eli tavan, jolla ne saadaan.

Tyypillisesti yritysten tietoturva-ajattelussa panostetaan fyysisen puolen uhkilta suojautumiseen. Järjestelmän suojana on laitteita ja ohjelmia, joiden tarkoituksena on pitää ulkopuoliset yritysverkon ja yrityksen toimitilojen ulkopuolella.

Tässä suhteessa parantamisen varaa olisi paljon. Suomalaisyrityksiinkin saattaa asiaankuulumaton onnistua lampsimaan sisään pääoven kautta. Mukaan voi tarttua salasanoja tai vaikka kannettava tietokone.

- Luulen, että monissa suomalaisyrityksissäkin menee ihan täydestä, kun kävelee sisään puhelinyhtiön lippalakki päässä, latelee tekniseltä kuulostavia termejä ja selittää jotakin toimimattomista yhteyksistä, sanoo Cygaten verkkoasiantuntija Mikko Tammiruusu.

Tammiruusun mielestä kunnollisten tietoturvakäytäntöjen käyttöönotto on toimivan tietoturvan ehdoton edellytys.

- Tietoturvakoulutus on nykyisin liian laitekeskeistä. Ilman kunnollista ja toimivaa tietoturvapolitiikkaa työntekijät eivät tule ajatelleeksi turvallisuuteen liittyviä asioita, Tammiruusu toteaa.

Tammiruusun mukaan erityisen alttiita urkkijoille ovat yliopistot, joissa ihmisiä liikkuu paljon eikä kulunvalvonta ole aina kovin tehokkaasti toteutettu.

...vai kilautetaanko kaverille?

Social engineering -termin suppeampi merkitys käsittää psykologiset vaikuttamiskeinot. Järjestelmän tietoja mielivällä on käytettävissään erilaisia urkkimistapoja, joiden teho perustuu ihmisen luontaisiin taipumuksiin, kuten haluun miellyttää toisia.

Krakkeri voi esimerkiksi hankkia tietoonsa yritysjohtoon kuuluvien nimiä. Sitten hän voi soittaa alemmassa asemassa olevalle yhtiön työntekijälle ja esitellä itsensä liikematkalla olevaksi johtajaksi joka tarvitsee nopeasti vaikkapa jonkin salasanan, joka on päässyt unohtumaan.

Halu miellyttää johtavassa asemassa olevaa sekä toisaalta toivo oman aseman paranemisesta pomolle tehdyn palveluksen seurauksena voivat saada työntekijän luovuttamaan arkaluontoistakin tietoa.

Joskus pelkkä ystävällinen puhe tai imartelu saattaa antaa avaimet yrityksen kaikkein pyhimpään. Toisaalta tunkeutuja voi tekeytyä tietämättömäksikin, jolloin uhri "pääsee auttamaan" häntä.

Reverse social engineering

Murtautujalle urkkiminen ei kuitenkaan ole aivan riskitöntä; liika uteleminen tai ylenpalttinen lipevyys voi herättää epäilyksiä.

Turvallisempi, joskin samalla paljon työteliäämpi tapa kalastaa tietoja on kääntää psykologinen asetelma ylösalaisin. Murtomies voi järjestelmään päästyään hankkiutua asemaan, jossa hänen ei tarvitse urkkia tietoja, vaan työntekijät ottavat häneen yhteyttä.

Tietomurroista kirjoittava Rick Nelson on esittänyt tekstissään Methods of Hacking: Social Engineering esimerkin, jossa hän esittelee käänteisen taivuttelumenettelyn (reverse social engineering) kolme vaihetta. Murtomies on ensin pääsyt käsiksi työntekijän työasemaan ja ujuttanut siihen jotakin, joka saa koneen näyttämään epäkuntoiselta. Nelson kutsuu tätä toimintaa sabotaasiksi.

Tunkeutuja huolehtii siitä, että sabotaasin uhri ottaa ongelman huomattuaan yhteyttä juuri häneen. Sen hän voi tehdä esimerkiksi jättämällä sopivasti käyntikorttinsa uhrin löydettäväksi tai lisäämällä yhteystietonsa työaseman näyttämiin virheilmoituksiin. Tämä osa on mainostaminen.

Kolmas vaihe, auttaminen, onkin jo varsin helppo toteuttaa, koska tunkeutuja itse on ongelman tietoisesti luonutkin. Autettava tuumaa, että tunkeutuja ilmeisesti osaa korjata ongelman ja antaa tälle auliisti käyttäjätunnuksensa ja salasanansa. Näin hämärämies on päässyt järjestelmään.

Miksi social engineering?

Taivuttelu-, huijaus- ja hämäyskeinojen käyttö on krakkerille monella tavoin houkuttelevampaa kuin "perinteisten" tietomurtojen tekeminen.

Ensinnäkin yritykset, ainakin suuret ja murtomiehen kannalta houkuttelevat sellaiset, suojaavat nykyisin verkkonsa muun muassa palomuureilla ja tunkeutumisen tunnistavilla IDS-järjestelmillä. Tietomurtojen tekeminen vaatii siis teknistä osaamista.

Toiseksi, vaikka krakkerilla olisi taito murtautua yrityksen sisäiseen verkkoon, saattaa olla helpompaa ja huomattavasti nopeampaa hankkia tarvittava tieto yksinkertaisesti soittamalla kohdeyritykseen ja pyytämällä sitä.

Social engineering -hyökkäyksen onnistuminen ei myöskään ole riippuvainen siitä, minkälaisia laitteita ja mitä käyttöjärjestelmiä kohteessa käytetään. Siksi tällaiset hyökkäykset ovat sähköisiä tietomurtoja vaikeampia torjua ja havaita.

Mikä neuvoksi?

Tammiruusun mukaan social engineering on tietoturvariski myös Suomessa, vaikka paljon suurempaa uhkaa tällä hetkellä edustavatkin helppokäyttöisillä työkaluohjelmilla toteutettavat palvelunestohyökkäykset.

Hän pitää todennäköisenä sitä, että taivuttelu- ja huijausmenetelmillä voisi päästä pitkälle siinä tietoturvatilanteessa, jossa suomalaiset yritykset tällä hetkellä ovat.

Yrityksen tietoturvan heikoin lenkki on ihminen; parhaillakaan laitteilla ja ohjelmistoilla ei voida toteuttaa tehokasta tietoturvaa, jos työntekijöillä ei ole selvää kuvaa siitä, miten asiat pitäisi hoitaa.

Erityisen tärkeitä oikeat toimintatavat ovat suurissa yrityksissä, joissa henkilökuntaan kuuluvat eivät tunne toisiaan. Juuri isoihin yrityksiin social engineering -hyökkäykset suunnataankin.
Siksi tärkeintä olisikin luoda selkeä tietoturvakäytäntö, jota jokainen työntekijä myös noudattaa.

Kaiken laiteturvallisuuden lisäksi varovaisuus pitäisi ulottaa ihmisiin. Kuten Nokiaankin aikoinaan murtautunut krakkeri Kevin Mitnick on todennut, tietoturvateknologiaan voi upottaa kokonaisen omaisuuden, mutta silti järjestelmä on altis urkkijalle.

Kommentit

    Näytä lisää

    Näitä luetaan!
    1. 1

      Katso tienaatko enemmän kuin tavallinen suomalainen – uudet palkkatiedot julki

    2. 2

      Omakotitalo paloi Seinäjoella: Äiti kuoli, isä ja lapset pelastuivat

    3. 3

      Nyt puhuu bussiyhtiö Nobinan keskustelusta ulos heitetty pääluottamusmies: ”Ei minun tarvitse sietää huutamista ja tönimistä”

    4. 4

      Mopopoikien hurjastelulle järkyttävä loppu – kaksi teiniä lensi ilmassa maahan, toiselle vakava aivovamma

    5. 5

      Bill Gates paljastaa: Tämän vuoksi Windowsissa käytetään ctrl-alt-del-näppäinyhdistelmää

    6. 6

      Kommentti: Jesse Puljujärven kiusaaminen on lapsellista – ansaitsee pilkan sijaan kehuja suoraselkäisyydestään

    7. 7

      Kirjailija Laura Gustafsson avoimena Me Naisille: 25-vuotiaana jo 50 eri miestä – ”Aina, kun joku kysyi, lähdetkö mukaan, lähdin”

    8. 8

      Arkeologit avasivat keskiaikaisen haudan syrjäisellä saarella Englannissa – sisältö oli kaukana ihmisestä

    9. 9

      ”Rakasteluun kelpasi vaikka vaja” – Kalle Päätalon elämään kuuluivat värikäs seksielämä, salasuhteet ja 17-vuotias rakastajatar

    10. 10

      Kemiläisen omakotitalon myynti-ilmoitus leviää internetissä – välittäjä: ”Kyllä siitä laittamalla talon saa”

    11. Näytä lisää
    1. 1

      Kemiläisen omakotitalon myynti-ilmoitus leviää internetissä – välittäjä: ”Kyllä siitä laittamalla talon saa”

    2. 2

      Opettaja menetti yllättäen 2000 euron tuet – työttömille kaikessa hiljaisuudessa luotu uusi nettivelvoite raivostuttaa

    3. 3

      Anu jätti Suomen 5 vuotta sitten, kun matkalla töistä kotiin teki vain mieli itkeä – näin koko elämä muuttui

    4. 4

      Arkeologit avasivat keskiaikaisen haudan syrjäisellä saarella Englannissa – sisältö oli kaukana ihmisestä

    5. 5

      Kirsty, 21, joogaa alasti kohottaakseen itsetuntoaan – ”Miksi ihmiset ovat niin vihaisia tytöille, jotka ovat tyytyväisiä vartaloonsa?”

    6. 6

      Playboy-mallin luomurinnat tuottavat hänelle suunnatonta tuskaa – avautui kivuistaan tv-ruudussa: Lääkäriltä simppeli neuvo

    7. 7

      IL: Yö-yhtyeen alkuperäisjäsen Jussi Hakulinen sairastui syöpään – sai tietää kamalan uutisen kirjeen välityksellä

    8. 8

      Mopopoikien hurjastelulle järkyttävä loppu – kaksi teiniä lensi ilmassa maahan, toiselle vakava aivovamma

    9. 9

      Entinen Ensitreffit alttarilla -vaimo kauhistui uuden Ensitreffit-parin meiningistä: ”Huolestuttaa kyllä”

    10. 10

      Brasilialainen Ihmis-Ken avautui seksuaalisuudestaan – suunnitteilla äärimmäinen operaatio: Perustelu vetää mykäksi

    11. Näytä lisää
    1. 1

      Tv-juontajalle kävi äärimmäisen kiusallinen moka minihameessa – suora lähetys yllätti katsojat: Kuvat leviävät

    2. 2

      Ruotsalainen Natasha, 24, hämmästyttää äärimmäisellä muodonmuutoksellaan – vanhemmat eivät hyväksy tyttärensä kauneusleikkauksia

    3. 3

      Emma otti loukkaantuneen eläimen kiinni – ymmärsi vasta sitten: ”Herranjumala, eihän se olekaan mikään koira”

    4. 4

      Kaksi tavallista naista testasi kohutun Lidl-malliston kiinnostavimmat vaatteet – tältä ne oikeasti näyttävät

    5. 5

      Mervi Tapola sairastui syöpään – ei voida parantaa: ”Järkytys oli hirvittävä”

    6. 6

      Jari Sillanpää kertoo nyt IS:lle tiistain tapahtumista – ”Olen todella pahoillani”

    7. 7

      Trafi aloittaa kampanjoinnin ylihuomenna: Kärkenä dieselautoilijalle luvassa oleva 17000 euron verolasku

    8. 8

      Huutokauppakeisari myi 90-luvun muumimukin suurella summalla – löytyykö sinulta tämä harvinaisuus?

    9. 9

      Lähipiiri kertoo Sillanpään huumeidenkäytöstä: ”Jarille arki voi tuntua putoamiselta rotkoon”

    10. 10

      Entisen teinitähden tv-esiintyminen järkytti katsojia – luurangonlaiha laulaja kuin varjo entisestä: huumetesti paljasti karmivan totuuden

    11. Näytä lisää
    Näitä luetaan!
    1. 1

      Katso tienaatko enemmän kuin tavallinen suomalainen – uudet palkkatiedot julki

    2. 2

      Omakotitalo paloi Seinäjoella: Äiti kuoli, isä ja lapset pelastuivat

    3. 3

      Nyt puhuu bussiyhtiö Nobinan keskustelusta ulos heitetty pääluottamusmies: ”Ei minun tarvitse sietää huutamista ja tönimistä”

    4. 4

      Mopopoikien hurjastelulle järkyttävä loppu – kaksi teiniä lensi ilmassa maahan, toiselle vakava aivovamma

    5. 5

      Bill Gates paljastaa: Tämän vuoksi Windowsissa käytetään ctrl-alt-del-näppäinyhdistelmää

    6. Näytä lisää
    1. 1

      Kemiläisen omakotitalon myynti-ilmoitus leviää internetissä – välittäjä: ”Kyllä siitä laittamalla talon saa”

    2. 2

      Opettaja menetti yllättäen 2000 euron tuet – työttömille kaikessa hiljaisuudessa luotu uusi nettivelvoite raivostuttaa

    3. 3

      Anu jätti Suomen 5 vuotta sitten, kun matkalla töistä kotiin teki vain mieli itkeä – näin koko elämä muuttui

    4. 4

      Arkeologit avasivat keskiaikaisen haudan syrjäisellä saarella Englannissa – sisältö oli kaukana ihmisestä

    5. 5

      Kirsty, 21, joogaa alasti kohottaakseen itsetuntoaan – ”Miksi ihmiset ovat niin vihaisia tytöille, jotka ovat tyytyväisiä vartaloonsa?”

    6. Näytä lisää
    1. 1

      Tv-juontajalle kävi äärimmäisen kiusallinen moka minihameessa – suora lähetys yllätti katsojat: Kuvat leviävät

    2. 2

      Ruotsalainen Natasha, 24, hämmästyttää äärimmäisellä muodonmuutoksellaan – vanhemmat eivät hyväksy tyttärensä kauneusleikkauksia

    3. 3

      Emma otti loukkaantuneen eläimen kiinni – ymmärsi vasta sitten: ”Herranjumala, eihän se olekaan mikään koira”

    4. 4

      Kaksi tavallista naista testasi kohutun Lidl-malliston kiinnostavimmat vaatteet – tältä ne oikeasti näyttävät

    5. 5

      Mervi Tapola sairastui syöpään – ei voida parantaa: ”Järkytys oli hirvittävä”

    6. Näytä lisää