Tietoturva

Valikko

Social engineering: mitä se on?

Julkaistu:

Luvaton tunkeutuminen tietojärjestelmään ei välttämättä edellytä tietokoneen avulla tehtyä murtoa, vaan muitakin keinoja käytetään. Taitava hämärämies voi käyttää hyväkseen erilaisia taivuttelu- ja hämäystekniikoita saadakseen yrityksen varomattoman työntekijän avaamaan pääsyn luottamuksellisiin tietoihin.
Tietomurroista puhuttaessa tarkoitetaan yleensä sähköisesti toteutettua luvatonta tunkeutumista tietojärjestelmään. Pari viikkoa sitten otsikoissa oli vantaalaiskaksikko, joka ennätti murtautua satoihin kohteisiin ennen kiinnijäämistään.

Huomattavasti vähemmälle huomiolle ovat jääneet tapaukset, joissa yrityksen tärkeitä tietoja on päässyt vääriin käsiin muilla tavoin. Sen lisäksi, että työntekijät voivat vuotaa tietoja omasta tahdostaan, heitä voidaan myös huijata tai suostutella luovuttamaan niitä ulkopuolisille.

Selvähän se, ettei näistä tapauksista juuri puhuta: kohteena on miltei poikkeuksetta suuri yritys, joka pelkää kasvojensa menettämistä ja julkisuuskuvansa tahriintumista. Silti tapauksia sattuu etenkin suuressa maailmassa, jopa niin, ettei kohdeyhtiö edes tiedä joutuneensa uhriksi.

Työntekijään voidaan urkkimismielessä vaikuttaa lukemattomilla tavoilla, mutta tavoite on aina sama: saada hänet antamaan sellaista tietoa, joka avaa tunkeutujalle pääsyn yrityksen tietojärjestelmään.

Englanniksi näitä keinoja kutsutaan nimellä social engineering. Suomen kieleen ei vielä ole vakiintunut ilmiötä tarkoittavaa sanaa. Tuoreessa tietomurtoja käsittelevässä kirjassa Hakkeroinnin torjunta - Uusimmat salaisuudet ja ratkaisut käytetään termiä taivuttelumenetelmä, joka ei kuitenkaan kata kaikkia social engineering -hyökkäysten osa-alueita.

Mennäänkö ovesta...

Yhden määritelmän mukaan social engineering -termi laajemmassa merkityksessään käsittää fyysisen puolen, siis sen, missä tietojen hankinta tapahtuu, ja psykologisen puolen eli tavan, jolla ne saadaan.

Tyypillisesti yritysten tietoturva-ajattelussa panostetaan fyysisen puolen uhkilta suojautumiseen. Järjestelmän suojana on laitteita ja ohjelmia, joiden tarkoituksena on pitää ulkopuoliset yritysverkon ja yrityksen toimitilojen ulkopuolella.

Tässä suhteessa parantamisen varaa olisi paljon. Suomalaisyrityksiinkin saattaa asiaankuulumaton onnistua lampsimaan sisään pääoven kautta. Mukaan voi tarttua salasanoja tai vaikka kannettava tietokone.

- Luulen, että monissa suomalaisyrityksissäkin menee ihan täydestä, kun kävelee sisään puhelinyhtiön lippalakki päässä, latelee tekniseltä kuulostavia termejä ja selittää jotakin toimimattomista yhteyksistä, sanoo Cygaten verkkoasiantuntija Mikko Tammiruusu.

Tammiruusun mielestä kunnollisten tietoturvakäytäntöjen käyttöönotto on toimivan tietoturvan ehdoton edellytys.

- Tietoturvakoulutus on nykyisin liian laitekeskeistä. Ilman kunnollista ja toimivaa tietoturvapolitiikkaa työntekijät eivät tule ajatelleeksi turvallisuuteen liittyviä asioita, Tammiruusu toteaa.

Tammiruusun mukaan erityisen alttiita urkkijoille ovat yliopistot, joissa ihmisiä liikkuu paljon eikä kulunvalvonta ole aina kovin tehokkaasti toteutettu.

...vai kilautetaanko kaverille?

Social engineering -termin suppeampi merkitys käsittää psykologiset vaikuttamiskeinot. Järjestelmän tietoja mielivällä on käytettävissään erilaisia urkkimistapoja, joiden teho perustuu ihmisen luontaisiin taipumuksiin, kuten haluun miellyttää toisia.

Krakkeri voi esimerkiksi hankkia tietoonsa yritysjohtoon kuuluvien nimiä. Sitten hän voi soittaa alemmassa asemassa olevalle yhtiön työntekijälle ja esitellä itsensä liikematkalla olevaksi johtajaksi joka tarvitsee nopeasti vaikkapa jonkin salasanan, joka on päässyt unohtumaan.

Halu miellyttää johtavassa asemassa olevaa sekä toisaalta toivo oman aseman paranemisesta pomolle tehdyn palveluksen seurauksena voivat saada työntekijän luovuttamaan arkaluontoistakin tietoa.

Joskus pelkkä ystävällinen puhe tai imartelu saattaa antaa avaimet yrityksen kaikkein pyhimpään. Toisaalta tunkeutuja voi tekeytyä tietämättömäksikin, jolloin uhri "pääsee auttamaan" häntä.

Reverse social engineering

Murtautujalle urkkiminen ei kuitenkaan ole aivan riskitöntä; liika uteleminen tai ylenpalttinen lipevyys voi herättää epäilyksiä.

Turvallisempi, joskin samalla paljon työteliäämpi tapa kalastaa tietoja on kääntää psykologinen asetelma ylösalaisin. Murtomies voi järjestelmään päästyään hankkiutua asemaan, jossa hänen ei tarvitse urkkia tietoja, vaan työntekijät ottavat häneen yhteyttä.

Tietomurroista kirjoittava Rick Nelson on esittänyt tekstissään Methods of Hacking: Social Engineering esimerkin, jossa hän esittelee käänteisen taivuttelumenettelyn (reverse social engineering) kolme vaihetta. Murtomies on ensin pääsyt käsiksi työntekijän työasemaan ja ujuttanut siihen jotakin, joka saa koneen näyttämään epäkuntoiselta. Nelson kutsuu tätä toimintaa sabotaasiksi.

Tunkeutuja huolehtii siitä, että sabotaasin uhri ottaa ongelman huomattuaan yhteyttä juuri häneen. Sen hän voi tehdä esimerkiksi jättämällä sopivasti käyntikorttinsa uhrin löydettäväksi tai lisäämällä yhteystietonsa työaseman näyttämiin virheilmoituksiin. Tämä osa on mainostaminen.

Kolmas vaihe, auttaminen, onkin jo varsin helppo toteuttaa, koska tunkeutuja itse on ongelman tietoisesti luonutkin. Autettava tuumaa, että tunkeutuja ilmeisesti osaa korjata ongelman ja antaa tälle auliisti käyttäjätunnuksensa ja salasanansa. Näin hämärämies on päässyt järjestelmään.

Miksi social engineering?

Taivuttelu-, huijaus- ja hämäyskeinojen käyttö on krakkerille monella tavoin houkuttelevampaa kuin "perinteisten" tietomurtojen tekeminen.

Ensinnäkin yritykset, ainakin suuret ja murtomiehen kannalta houkuttelevat sellaiset, suojaavat nykyisin verkkonsa muun muassa palomuureilla ja tunkeutumisen tunnistavilla IDS-järjestelmillä. Tietomurtojen tekeminen vaatii siis teknistä osaamista.

Toiseksi, vaikka krakkerilla olisi taito murtautua yrityksen sisäiseen verkkoon, saattaa olla helpompaa ja huomattavasti nopeampaa hankkia tarvittava tieto yksinkertaisesti soittamalla kohdeyritykseen ja pyytämällä sitä.

Social engineering -hyökkäyksen onnistuminen ei myöskään ole riippuvainen siitä, minkälaisia laitteita ja mitä käyttöjärjestelmiä kohteessa käytetään. Siksi tällaiset hyökkäykset ovat sähköisiä tietomurtoja vaikeampia torjua ja havaita.

Mikä neuvoksi?

Tammiruusun mukaan social engineering on tietoturvariski myös Suomessa, vaikka paljon suurempaa uhkaa tällä hetkellä edustavatkin helppokäyttöisillä työkaluohjelmilla toteutettavat palvelunestohyökkäykset.

Hän pitää todennäköisenä sitä, että taivuttelu- ja huijausmenetelmillä voisi päästä pitkälle siinä tietoturvatilanteessa, jossa suomalaiset yritykset tällä hetkellä ovat.

Yrityksen tietoturvan heikoin lenkki on ihminen; parhaillakaan laitteilla ja ohjelmistoilla ei voida toteuttaa tehokasta tietoturvaa, jos työntekijöillä ei ole selvää kuvaa siitä, miten asiat pitäisi hoitaa.

Erityisen tärkeitä oikeat toimintatavat ovat suurissa yrityksissä, joissa henkilökuntaan kuuluvat eivät tunne toisiaan. Juuri isoihin yrityksiin social engineering -hyökkäykset suunnataankin.
Siksi tärkeintä olisikin luoda selkeä tietoturvakäytäntö, jota jokainen työntekijä myös noudattaa.

Kaiken laiteturvallisuuden lisäksi varovaisuus pitäisi ulottaa ihmisiin. Kuten Nokiaankin aikoinaan murtautunut krakkeri Kevin Mitnick on todennut, tietoturvateknologiaan voi upottaa kokonaisen omaisuuden, mutta silti järjestelmä on altis urkkijalle.

Kommentit

    Näytä lisää

    Näitä luetaan!
    1. 1

      Roope Salminen haastatteli Cheyenne Järvistä – Sara Sieppi raivostui: ”Parempi reitti kuin reittä pitkin”

    2. 2

      Trump tönäisi pääministerin tylysti tieltään Nato-kokouksessa – video tilanteesta leviää

    3. 3

      Ivanka, Melania ja Donald Trump sekä paavi asettuivat riviin – vain yksi hymyili ja internet sekosi

    4. 4

      Mies kuoli rajussa suistumisturmassa Oulussa – penkkaan törmännyt auto roihahti liekkeihin

    5. 5

      Varattu Sonja rakastui Temptation Islandilla palavasti sinkku-Miikkaan – muuttivat heti yhteen: näin heillä menee nyt

    6. 6

      Mysteeri Mount Everestillä: kahdesta teltasta löytyi neljä tuntematonta ruumista – ”eivät ole tältä kiipeilykaudelta”

    7. 7

      Säätilassa tapahtuu viikonloppuna kaksi selvästi havaittavaa käännettä

    8. 8

      Poliisilta poikkeuksellinen varoitus vanhemmille – jopa viidesluokkalaiset tytöt liikkuvat aikuisten miesten seurassa

    9. 9

      Kamerat eivät paljastaneet: Joonas ja Pauliina harrastivat seksiä Temptation Islandilla toistensa selän takana – näin parilla menee nyt

    10. 10

      Temptation Islandilla varatun Pauliinan hurmannut Arttu paljastaa: näin suhde alkoi – ”Harrastettiin juuri sitä”

    11. Näytä lisää
    1. 1

      Tunteikas kuva presidentti Koiviston hautajaisista: Assi Koivisto näytti hellän puolensa

    2. 2

      Ratapölkyn haju paljasti omakotitalosta ikävän yllätyksen –myyjä joutuu palauttamaan 202000 euroa

    3. 3

      Miksi hautajaisvierailla oli hansikkaat kädessä?

    4. 4

      Lue kaikki presidentti Mauno Koiviston hautajaisista

    5. 5

      ISTV:n lähetys Mauno Koiviston hautajaisista

    6. 6

      Conan O’Brien paljastaa kauheimman vieraansa keskusteluohjelmassa: ”Hän on teeskentelijä”

    7. 7

      Mauno Koiviston hautajaisten ylivoimaisesti koskettavin hetki nähtiin kello 15.43

    8. 8

      40 kuvaa, jotka jäävät historiaan presidentti Mauno Koiviston hautajaisista

    9. 9

      Lepää rauhassa, presidentti Koivisto – päivän koskettavin kuvasarja otettiin Hietaniemen hautausmaalla

    10. 10

      Miro jonotti jo puoli yhdeksän aikaan presidentti Koiviston siunaustilaisuuteen – ”Hän antoi minulle uuden mahdollisuuden elää”

    11. Näytä lisää
    1. 1

      IS seuraa hetki hetkeltä: Ainakin 22 kuoli Manchesterin iskussa – epäilty tallentui valvontakameraan

    2. 2

      Vain harva tajusi: prinsessa Dianan käsilaukulla oli salainen tarkoitus – hämäsi valokuvaajia ovelalla kikalla

    3. 3

      Sami Hedbergin fanit raivostuivat jäähallikeikan jälkeen – ”P**ka maku jäi tästä”

    4. 4

      Ratapölkyn haju paljasti omakotitalosta ikävän yllätyksen –myyjä joutuu palauttamaan 202000 euroa

    5. 5

      Kaksi ruoka-ainetta karsimalla suoliston kunto voi parantua jo muutamassa viikossa

    6. 6

      Kätilöt paljastavat hulluimmat synnytyksensä: ”Äiti yritti saada orgasmin joka supistuksella”

    7. 7

      Varo nopeasti leviävää Facebook-virusta! Tarkista tilisi, saatat jakaa huijauslinkkejä tietämättäsi

    8. 8

      Yksinäinen 12-vuotias tyttö etsi ystävää Facebookista – ensitapaamisesta tuli kauhukokemus

    9. 9

      Kulmat minttiin ja verkkarit pyllyyn – aikuinen nainen testasi teinityttöjen suosikkityylin

    10. 10

      Tunteikas kuva presidentti Koiviston hautajaisista: Assi Koivisto näytti hellän puolensa

    11. Näytä lisää
    Näitä luetaan!
    1. 1

      Roope Salminen haastatteli Cheyenne Järvistä – Sara Sieppi raivostui: ”Parempi reitti kuin reittä pitkin”

    2. 2

      Trump tönäisi pääministerin tylysti tieltään Nato-kokouksessa – video tilanteesta leviää

    3. 3

      Ivanka, Melania ja Donald Trump sekä paavi asettuivat riviin – vain yksi hymyili ja internet sekosi

    4. 4

      Mies kuoli rajussa suistumisturmassa Oulussa – penkkaan törmännyt auto roihahti liekkeihin

    5. 5

      Varattu Sonja rakastui Temptation Islandilla palavasti sinkku-Miikkaan – muuttivat heti yhteen: näin heillä menee nyt

    6. Näytä lisää
    1. 1

      Tunteikas kuva presidentti Koiviston hautajaisista: Assi Koivisto näytti hellän puolensa

    2. 2

      Ratapölkyn haju paljasti omakotitalosta ikävän yllätyksen –myyjä joutuu palauttamaan 202000 euroa

    3. 3

      Miksi hautajaisvierailla oli hansikkaat kädessä?

    4. 4

      Lue kaikki presidentti Mauno Koiviston hautajaisista

    5. 5

      ISTV:n lähetys Mauno Koiviston hautajaisista

    6. Näytä lisää
    1. 1

      IS seuraa hetki hetkeltä: Ainakin 22 kuoli Manchesterin iskussa – epäilty tallentui valvontakameraan

    2. 2

      Vain harva tajusi: prinsessa Dianan käsilaukulla oli salainen tarkoitus – hämäsi valokuvaajia ovelalla kikalla

    3. 3

      Sami Hedbergin fanit raivostuivat jäähallikeikan jälkeen – ”P**ka maku jäi tästä”

    4. 4

      Ratapölkyn haju paljasti omakotitalosta ikävän yllätyksen –myyjä joutuu palauttamaan 202000 euroa

    5. 5

      Kaksi ruoka-ainetta karsimalla suoliston kunto voi parantua jo muutamassa viikossa

    6. Näytä lisää