Tietoturva

Valikko

Kevin Mitnick: Linkedin on murtautujan paras työkalu

Julkaistu:

Kun tietomurto perustuu ihmisten harhauttamiseen, on onnistumisprosentti pelottavan korkea.
Tietojärjestelmiin voi tunkeutua useammalla tavalla. Yksi on perinteinen tietotekninen hyökkäys, jossa järjestelmiin tunkeudutaan ulkoa käsin tietoturva-aukkojen kautta tai sisältä käsin järjestelmään ujutetun haittaohjelman kautta.

Tämän lisäksi on olemassa tapa, joka ei kirjaudu lokitiedostoihin, on käyttöjärjestelmäriippumaton ja edullinen sekä onnistumisprosentiltaan korkea, eikä aukkoa voi tukkia ohjelmistopäivityksin.

Tekniikan nimi on social engineering, joka käännetään yleensä suomeksi käyttäjän manipuloimiseksi. Tällä tarkoitetaan käyttäjän manipuloimista, huijaamista ja vaikutusvallan käyttämistä tähän. Tältä pyritään saamaan salaisia tietoja tai saamaan pääsy niihin.

Onnistuu
melkein aina


Maailman hakkereista ehkä tunnetuin, Kevin Mitnick, on rikollisen uransa jälkeen alkanut tehdä turvatestauksia yrityksille käyttäen samoja menetelmiä, joilla hän aikoinaan murtautui järjestelmiin. Nyt hän kiertää testaamisen ohella ympäri maailmaa puhumassa ihmisten jallittamisesta.

Digitoday kuunteli Mitnickin esityksen Reaktor Dev day 2013 -tapahtumassa ja esitti miehelle kysymyksiä puheen jälkeen.

Suomalaisten parhaiten tunteman murron, eli Nokian järjestelmiin tunkeutumisen 1990-luvulla, Mitnick teki juuri ihmisiä manipuloimalla. Tekeytymällä yhtiön työntekijäksi hän sai Nokian Britannian-toimistolta käyttäjätunnukset yhtiön Salon-palvelimille, joissa säilytettiin puhelimien lähdekoodeja.

Menetelmä ei ole vanhentunut vieläkään. Mitnickin mukaan sen teho on hämmästyttävän suuri.

– En ole tähän mennessä kertaakaan epäonnistunut. Samaa sanovat alalla turvatestausta tekevät kollegani, Mitnick vastaa Digitodayn kysymykseen.

Korkea onnistumisprosessi perustuu siihen, että yhden ihmisen vipuun saaminen riittää. Jos tarvittavia tietoja ei saa yhdeltä ihmiseltä, nämä saattaa saada tämän työkaverilta. Yhtiön tietoturva käyttäjän manipulointia vastaan on yhtä vahva kuin yhtiön hyväuskoisin työntekijä.

Ex-krakkerin mukaan käyttäjien manipulointihyökkäyksiltä on käytännössä mahdoton suojautua. Parhaimmillaankin yritys voi tehdä sen vain sen verran vaikeaksi, että hyökkääjä iskee sinne, mistä saa haluamansa helpommalla. 

Myyjät myyvät
ja paljastavat


Yritysten tietoisuus social engineeringistä lisääntyy, mutta harhauttamisen tavat kehittyvät myös. Useimmissa yhtiöissä helpdeskin työntekijäksi tekeytyminen ja salasanan kyseleminen käyttäjältä puhelimitse ei enää onnistu.

Sen sijaan tunkeutujat saattavat selvittää firman, jonka asiakas tunkeutumisen kohteena oleva yritys on. Kohteen käyttämien työasemien tai tietoturvaohjelmistojen valmistajan saa selville soittelemalla valmistajille ja tekeytymällä murron kohteena olevan firman asiakkaaksi. Vastaus on yleensä vain muutaman puhelinsoiton päässä.

– Myyjät haluavat myydä lisää, ja siksi he vastaavat kysymyksiin auliisti, Mitnick kertoo havainnostaan.

Saatuaan kohteestaan jonkin verran tietoa, voi hyökkääjä olla tähän yhteydessä. Sitä esitellessään yhtiön työntekijät helppo saada uskomaan, että hyökkääjä on luotettava ja oikealla asialla. Saatuaan tällä tavoin jalan oven väliin, murtautuja saa yhteydenpidon jatkuessa ennen pitkää luottamuksellista tietoa.




– Järjestelmään tunkeudutaan sosiaalisin keinoin ja kun ollaan sisällä, käytetään hakkerointityökaluja, Mitnick selittää. 

Ihmisten hyväuskoisuutta voidaan käyttää myös laitteistopohjaisiin hyökkäyksiin.

Yritysten tietohallinnot ovat tuntevat nykyisin Stuxnet-hyökkäyksissä käytetyn muistitikkutempun. Useimmat työntekijät tuskin enää tökkäisivät konttorin edessä ajelehtinutta muistitikkua kiinni työasemaansa.

Mutta moniko osaisi epäillä firman työasemat toimittavalta yhtiöltä tulleiden näppäimistöjen luotettavuutta? Kun hakkeri on selvittänyt työasemien valmistajan, on tämän nimissä helppo lähettää yritykseen erä näppäimistönauhureilla varustettuja näppäimistöjä.


Linkedin on
hyökkääjän ystävä


Social engineering -hyökkäyksessä organisaation tuntemus on välttämätöntä. Tämän yhtiöt tekevät helpoksi listaamalla verkkosivuillaan avainhenkilöt yhteystietoineen.

Mitnick kehuu Linkediniä korvaamattomaksi työkaluksi kartoituksen tekemisessä, sillä sen avulla on helppo löytää järjestelmäylläpitäjät, verkonvalvojat ja sovelluskehittäjät, joiden pääkäyttäjätunnukset ovat kullanarvoisia murtautumisessa.

Usein yhtiöihin on helpointa iskeä näille työskentelevien freelancerien kautta. Nämä käyttävät usein samoja tietokoneita yritysverkossa ja muussa käytössä. Istuttamalla tällaiselle koneelle haittaohjelman, saa sen ujutettua yleensä myös yritysverkkoon.

Mitnick kehuu Linkediniä myös freelancereiden löytämisessä. Ihmisten halu ylläpitää cv:tään auttaa tunkeutujia työssään.

Yrityksen rakenteen tunteminen auttaa myös räätälöidyissä hyökkäyksissä. Pomolta sähköpostitse tullutta pdf:ää tai palkkahallinnon nimissä olevaa Excel-tiedostoa osaston palkoista ei kovin moni jättäisi avaamatta. Se yksi klikkaus murtautujan väärentämässä sähköpostiviestissä riittää haittaohjelmatartunnan saamiseen.

Kommentit

    Näytä lisää

    Näitä luetaan!
    1. 1

      Kesän kaunein mekko on tässä – sopii vartalotyypistä riippumatta

    2. 2

      Pikkulapset katosivat kotoa Teksasissa – löytyivät kuolleina kuumasta autosta

    3. 3

      80-vuotias rouva ällistyi: Perinnönjaossa paljastui sisar, jonka isä oli salannut kaikilta

    4. 4

      Tässä on Loton oikea rivi – suuri summa 6+1 -tuloksesta

    5. 5

      Testaa kuinka hyvin tunnet tutut latinankieliset sanonnat!

    6. 6

      Armeija ja islamistit taistelevat luodein ja raketein kaupungin kaduilla Filippiineillä – ”Näin Isisin siellä”

    7. 7

      Suomen lentopallomiehet löylytti Espanjaa – MM-kisapaikalle sinetti sunnuntaina?

    8. 8

      Ohikulkija säikähti väkivaltaiselta näyttänyttä kohtausta Espoossa – Rinnekoti kertoo, mistä työntekijän ja teinipojan välisessä tilanteessa oli kyse

    9. 9

      10 kuvaa Kimi Räikkösen fantastisesta päivästä – tuttu pikkupoika varasti jälleen show’n

    10. 10

      Pamela Andersonilla upea edustusasu – rinta oli vilahtaa iltapuvun "halkiosta"

    11. Näytä lisää
    1. 1

      Pia Lamberg elää unelmaansa Los Angelesissa – rahoitusalalla työskentelevä uusi rakas vei jalat alta: ”Hän osti kaiken puolestani”

    2. 2

      Aviomies ramppasi alvariinsa urheilumatseissa – vaimon epäilykset heräsivät, kun kotoa alkoi hävitä Viagraa

    3. 3

      Tietoa Michael Schumacherin tilasta varjellaan visusti – nyt perheen vaikenemiselle saatiin selitys

    4. 4

      Kuvat: Pyöräkuormaaja syöksyi 10 metriä sillalta – kuljettaja sairaalaan

    5. 5

      Hirvittävä veriteko tapahtui syrjäisen maalaistalon navetassa huhtikuisena iltana – Kaj Linnan kohtalo voi vielä muuttua vuosien jälkeen

    6. 6

      Testaa kuinka hyvin tunnet tutut latinankieliset sanonnat!

    7. 7

      Huomaatko härskin yksityiskohdan? Pari ikuisti hääpäivänsä idyllisellä maatilalla – kuvaan kätkeytyy jättiyllätys

    8. 8

      Ohikulkija säikähti väkivaltaiselta näyttänyttä kohtausta Espoossa – Rinnekoti kertoo, mistä työntekijän ja teinipojan välisessä tilanteessa oli kyse

    9. 9

      Kesän kaunein mekko on tässä – sopii vartalotyypistä riippumatta

    10. 10

      Parisuhdebloggaaja Sami Minkkinen paljastaa yksityiskohtia uudesta rakkaastaan – kohuerolla karut seuraukset

    11. Näytä lisää
    1. 1

      IS seuraa hetki hetkeltä: Ainakin 22 kuoli Manchesterin iskussa – epäilty tallentui valvontakameraan

    2. 2

      Tietoa Michael Schumacherin tilasta varjellaan visusti – nyt perheen vaikenemiselle saatiin selitys

    3. 3

      Vain harva tajusi: prinsessa Dianan käsilaukulla oli salainen tarkoitus – hämäsi valokuvaajia ovelalla kikalla

    4. 4

      Sami Hedbergin fanit raivostuivat jäähallikeikan jälkeen – ”P**ka maku jäi tästä”

    5. 5

      Ratapölkyn haju paljasti omakotitalosta ikävän yllätyksen –myyjä joutuu palauttamaan 202000 euroa

    6. 6

      Kaksi ruoka-ainetta karsimalla suoliston kunto voi parantua jo muutamassa viikossa

    7. 7

      Kätilöt paljastavat hulluimmat synnytyksensä: ”Äiti yritti saada orgasmin joka supistuksella”

    8. 8

      Tunteikas kuva presidentti Koiviston hautajaisista: Assi Koivisto näytti hellän puolensa

    9. 9

      Varo nopeasti leviävää Facebook-virusta! Tarkista tilisi, saatat jakaa huijauslinkkejä tietämättäsi

    10. 10

      Kulmat minttiin ja verkkarit pyllyyn – aikuinen nainen testasi teinityttöjen suosikkityylin

    11. Näytä lisää
    Näitä luetaan!
    1. 1

      Kesän kaunein mekko on tässä – sopii vartalotyypistä riippumatta

    2. 2

      Pikkulapset katosivat kotoa Teksasissa – löytyivät kuolleina kuumasta autosta

    3. 3

      80-vuotias rouva ällistyi: Perinnönjaossa paljastui sisar, jonka isä oli salannut kaikilta

    4. 4

      Tässä on Loton oikea rivi – suuri summa 6+1 -tuloksesta

    5. 5

      Testaa kuinka hyvin tunnet tutut latinankieliset sanonnat!

    6. Näytä lisää
    1. 1

      Pia Lamberg elää unelmaansa Los Angelesissa – rahoitusalalla työskentelevä uusi rakas vei jalat alta: ”Hän osti kaiken puolestani”

    2. 2

      Aviomies ramppasi alvariinsa urheilumatseissa – vaimon epäilykset heräsivät, kun kotoa alkoi hävitä Viagraa

    3. 3

      Tietoa Michael Schumacherin tilasta varjellaan visusti – nyt perheen vaikenemiselle saatiin selitys

    4. 4

      Kuvat: Pyöräkuormaaja syöksyi 10 metriä sillalta – kuljettaja sairaalaan

    5. 5

      Hirvittävä veriteko tapahtui syrjäisen maalaistalon navetassa huhtikuisena iltana – Kaj Linnan kohtalo voi vielä muuttua vuosien jälkeen

    6. Näytä lisää
    1. 1

      IS seuraa hetki hetkeltä: Ainakin 22 kuoli Manchesterin iskussa – epäilty tallentui valvontakameraan

    2. 2

      Tietoa Michael Schumacherin tilasta varjellaan visusti – nyt perheen vaikenemiselle saatiin selitys

    3. 3

      Vain harva tajusi: prinsessa Dianan käsilaukulla oli salainen tarkoitus – hämäsi valokuvaajia ovelalla kikalla

    4. 4

      Sami Hedbergin fanit raivostuivat jäähallikeikan jälkeen – ”P**ka maku jäi tästä”

    5. 5

      Ratapölkyn haju paljasti omakotitalosta ikävän yllätyksen –myyjä joutuu palauttamaan 202000 euroa

    6. Näytä lisää