Tietoturva

Kevin Mitnick: Linkedin on murtautujan paras työkalu

Julkaistu:

Kun tietomurto perustuu ihmisten harhauttamiseen, on onnistumisprosentti pelottavan korkea.
Tietojärjestelmiin voi tunkeutua useammalla tavalla. Yksi on perinteinen tietotekninen hyökkäys, jossa järjestelmiin tunkeudutaan ulkoa käsin tietoturva-aukkojen kautta tai sisältä käsin järjestelmään ujutetun haittaohjelman kautta.

Tämän lisäksi on olemassa tapa, joka ei kirjaudu lokitiedostoihin, on käyttöjärjestelmäriippumaton ja edullinen sekä onnistumisprosentiltaan korkea, eikä aukkoa voi tukkia ohjelmistopäivityksin.

Tekniikan nimi on social engineering, joka käännetään yleensä suomeksi käyttäjän manipuloimiseksi. Tällä tarkoitetaan käyttäjän manipuloimista, huijaamista ja vaikutusvallan käyttämistä tähän. Tältä pyritään saamaan salaisia tietoja tai saamaan pääsy niihin.

Onnistuu
melkein aina


Maailman hakkereista ehkä tunnetuin, Kevin Mitnick, on rikollisen uransa jälkeen alkanut tehdä turvatestauksia yrityksille käyttäen samoja menetelmiä, joilla hän aikoinaan murtautui järjestelmiin. Nyt hän kiertää testaamisen ohella ympäri maailmaa puhumassa ihmisten jallittamisesta.
MAINOS (TEKSTI JATKUU ALLA)
MAINOS PÄÄTTYY

Digitoday kuunteli Mitnickin esityksen Reaktor Dev day 2013 -tapahtumassa ja esitti miehelle kysymyksiä puheen jälkeen.

Suomalaisten parhaiten tunteman murron, eli Nokian järjestelmiin tunkeutumisen 1990-luvulla, Mitnick teki juuri ihmisiä manipuloimalla. Tekeytymällä yhtiön työntekijäksi hän sai Nokian Britannian-toimistolta käyttäjätunnukset yhtiön Salon-palvelimille, joissa säilytettiin puhelimien lähdekoodeja.

Menetelmä ei ole vanhentunut vieläkään. Mitnickin mukaan sen teho on hämmästyttävän suuri.

– En ole tähän mennessä kertaakaan epäonnistunut. Samaa sanovat alalla turvatestausta tekevät kollegani, Mitnick vastaa Digitodayn kysymykseen.

Korkea onnistumisprosessi perustuu siihen, että yhden ihmisen vipuun saaminen riittää. Jos tarvittavia tietoja ei saa yhdeltä ihmiseltä, nämä saattaa saada tämän työkaverilta. Yhtiön tietoturva käyttäjän manipulointia vastaan on yhtä vahva kuin yhtiön hyväuskoisin työntekijä.

Ex-krakkerin mukaan käyttäjien manipulointihyökkäyksiltä on käytännössä mahdoton suojautua. Parhaimmillaankin yritys voi tehdä sen vain sen verran vaikeaksi, että hyökkääjä iskee sinne, mistä saa haluamansa helpommalla. 

Myyjät myyvät
ja paljastavat


Yritysten tietoisuus social engineeringistä lisääntyy, mutta harhauttamisen tavat kehittyvät myös. Useimmissa yhtiöissä helpdeskin työntekijäksi tekeytyminen ja salasanan kyseleminen käyttäjältä puhelimitse ei enää onnistu.

Sen sijaan tunkeutujat saattavat selvittää firman, jonka asiakas tunkeutumisen kohteena oleva yritys on. Kohteen käyttämien työasemien tai tietoturvaohjelmistojen valmistajan saa selville soittelemalla valmistajille ja tekeytymällä murron kohteena olevan firman asiakkaaksi. Vastaus on yleensä vain muutaman puhelinsoiton päässä.

– Myyjät haluavat myydä lisää, ja siksi he vastaavat kysymyksiin auliisti, Mitnick kertoo havainnostaan.

Saatuaan kohteestaan jonkin verran tietoa, voi hyökkääjä olla tähän yhteydessä. Sitä esitellessään yhtiön työntekijät helppo saada uskomaan, että hyökkääjä on luotettava ja oikealla asialla. Saatuaan tällä tavoin jalan oven väliin, murtautuja saa yhteydenpidon jatkuessa ennen pitkää luottamuksellista tietoa.




– Järjestelmään tunkeudutaan sosiaalisin keinoin ja kun ollaan sisällä, käytetään hakkerointityökaluja, Mitnick selittää. 

Ihmisten hyväuskoisuutta voidaan käyttää myös laitteistopohjaisiin hyökkäyksiin.

Yritysten tietohallinnot ovat tuntevat nykyisin Stuxnet-hyökkäyksissä käytetyn muistitikkutempun. Useimmat työntekijät tuskin enää tökkäisivät konttorin edessä ajelehtinutta muistitikkua kiinni työasemaansa.

Mutta moniko osaisi epäillä firman työasemat toimittavalta yhtiöltä tulleiden näppäimistöjen luotettavuutta? Kun hakkeri on selvittänyt työasemien valmistajan, on tämän nimissä helppo lähettää yritykseen erä näppäimistönauhureilla varustettuja näppäimistöjä.


Linkedin on
hyökkääjän ystävä


Social engineering -hyökkäyksessä organisaation tuntemus on välttämätöntä. Tämän yhtiöt tekevät helpoksi listaamalla verkkosivuillaan avainhenkilöt yhteystietoineen.

Mitnick kehuu Linkediniä korvaamattomaksi työkaluksi kartoituksen tekemisessä, sillä sen avulla on helppo löytää järjestelmäylläpitäjät, verkonvalvojat ja sovelluskehittäjät, joiden pääkäyttäjätunnukset ovat kullanarvoisia murtautumisessa.

Usein yhtiöihin on helpointa iskeä näille työskentelevien freelancerien kautta. Nämä käyttävät usein samoja tietokoneita yritysverkossa ja muussa käytössä. Istuttamalla tällaiselle koneelle haittaohjelman, saa sen ujutettua yleensä myös yritysverkkoon.

Mitnick kehuu Linkediniä myös freelancereiden löytämisessä. Ihmisten halu ylläpitää cv:tään auttaa tunkeutujia työssään.

Yrityksen rakenteen tunteminen auttaa myös räätälöidyissä hyökkäyksissä. Pomolta sähköpostitse tullutta pdf:ää tai palkkahallinnon nimissä olevaa Excel-tiedostoa osaston palkoista ei kovin moni jättäisi avaamatta. Se yksi klikkaus murtautujan väärentämässä sähköpostiviestissä riittää haittaohjelmatartunnan saamiseen.

Kommentit

    Näytä lisää

    Näitä luetaan!
    1. 1

      Video: Kaikkien aikojen valtavin luonnonilmiö Suomessa – ”Kuin lähestyvän pikajunan kohina”

    2. 2

      Nahka-asuisen Jannika B:n esitys villitsi Toni Wirtasen täysin – hurrasi ja karjui Tähdet, tähdet -yleisössä

    3. 3

      Yle: Mika Myllylän Olivia-tytär kuuli isänsä kuolemasta kesken huvipuistoretken – osasi odottaa uutista: ”Sitä sai pelätä jo aiemmin”

    4. 4

      Ensi viikon lauha sää peruttu – tilalle lunta ja räntää

    5. 5

      MTV: Janna joutui äkillisesti sairaalahoitoon – jää pois illan Tähdet, tähdet -lähetyksestä

    6. 6

      Työttömät kieltäytyivät työstä aina samalla selityksellä – teollisuuspohatan vastaveto saikin hakijan leuan loksahtamaan

    7. 7

      Thaimaalaista Marisaa vietiin, kun Pattayan baarikadulla asteli vastaan suomalainen Mauri: ”Olen onnen nainen, kun sain hyvän miehen”

    8. 8

      Leivinuunin ”lisälaite” yllätti pariskunnan – tunnelmallinen lauantai-ilta meni pilalle

    9. 9

      Suomalaiset Italia-konkarit: Älä ihmettele, jos saat kummallisia katseita tilattuasi cappuccinon ruoan jälkeen

    10. 10

      Legendaarinen Roope-setä -lehti lopettaa – ehti ilmestyä melkein 40 vuotta

    11. Näytä lisää
    1. 1

      Työttömät kieltäytyivät työstä aina samalla selityksellä – teollisuuspohatan vastaveto saikin hakijan leuan loksahtamaan

    2. 2

      Leivinuunin ”lisälaite” yllätti pariskunnan – tunnelmallinen lauantai-ilta meni pilalle

    3. 3

      Thaimaalaista Marisaa vietiin, kun Pattayan baarikadulla asteli vastaan suomalainen Mauri: ”Olen onnen nainen, kun sain hyvän miehen”

    4. 4

      Pitkä ennuste julki: Näin talven ensimmäiset merkit saapuvat Suomeen

    5. 5

      Olisitko tiennyt vastauksen 60 000 euron arvoiseen kysymykseen? Haluatko miljonääriksi? -kisailija jäi vain kolmen kysymyksen päähän jättipotista!

    6. 6

      Manuela Bosco julkaisi ensimmäisen yhteiskuvan Tuure Kilpeläisen kanssa – hymyilee rakkaansa kainalossa

    7. 7

      Nuori nainen julkaisi paljonpuhuvan kuvaparin: jo pieni kuvanmuokkaus muuttaa ulkonäköä hätkähdyttävästi – huomaatko eron?

    8. 8

      Pelastaja kertoo karmeasta näystä Tehtaankadulla 20 vuotta sitten: ”Täällä on tapahtunut teloitus” – sitten sattuma vei hänet lähelle poliisimurhaajaa

    9. 9

      Harvinainen näky: Kaikki elossa olevat USA:n ex-presidentit saapuivat lavalle hyväntekeväisyyskonsertissa

    10. 10

      MTV: Janna joutui äkillisesti sairaalahoitoon – jää pois illan Tähdet, tähdet -lähetyksestä

    11. Näytä lisää
    1. 1

      Dopingtuomion saaneen Therese Johaugin ulkoinen olemus on jotain aivan muuta kuin kaksi kuukautta sitten – katso kuvat

    2. 2

      Työttömät kieltäytyivät työstä aina samalla selityksellä – teollisuuspohatan vastaveto saikin hakijan leuan loksahtamaan

    3. 3

      Huomaatko erikoisen yksityiskohdan? 19-vuotiaan Lisan viaton bikinikuva kummastuttaa Instagramissa

    4. 4

      Tutut liikennemerkit muuttuvat sukupuolineutraaleiksi – katso kuvat!

    5. 5

      Leivinuunin ”lisälaite” yllätti pariskunnan – tunnelmallinen lauantai-ilta meni pilalle

    6. 6

      Näin päättyi Napakymppi-parin Ikaalisten matka – piikki auki, Ville jätti taksit maksamatta: ”Odotin, milloin pääsen pois”

    7. 7

      Nuoren Emman netti-ihastus olikin kaljuuntuva, 53-vuotias kauppias – sen jälkeen tapahtui jotain käsittämätöntä

    8. 8

      Kova väite K-Supermarketin kalatiskin kikasta ja takahuoneen tapahtumista – 22-vuotias Miss Tampere kertoo olevansa yksi kauppiaan uhreista

    9. 9

      Lahdesta löytynyt vainaja edelleen tunnistamatta – poliisi julkaisi poikkeuksellisesti kuvan ruumiista

    10. 10

      Onko tässä erikoisin hääkuva ikinä? Kreikkalaiskappeli kielsi ulkomaalaisparien häät rivon kuvan seurauksena

    11. Näytä lisää
    Näitä luetaan!
    1. 1

      Video: Kaikkien aikojen valtavin luonnonilmiö Suomessa – ”Kuin lähestyvän pikajunan kohina”

    2. 2

      Nahka-asuisen Jannika B:n esitys villitsi Toni Wirtasen täysin – hurrasi ja karjui Tähdet, tähdet -yleisössä

    3. 3

      Yle: Mika Myllylän Olivia-tytär kuuli isänsä kuolemasta kesken huvipuistoretken – osasi odottaa uutista: ”Sitä sai pelätä jo aiemmin”

    4. 4

      Ensi viikon lauha sää peruttu – tilalle lunta ja räntää

    5. 5

      MTV: Janna joutui äkillisesti sairaalahoitoon – jää pois illan Tähdet, tähdet -lähetyksestä

    6. Näytä lisää
    1. 1

      Työttömät kieltäytyivät työstä aina samalla selityksellä – teollisuuspohatan vastaveto saikin hakijan leuan loksahtamaan

    2. 2

      Leivinuunin ”lisälaite” yllätti pariskunnan – tunnelmallinen lauantai-ilta meni pilalle

    3. 3

      Thaimaalaista Marisaa vietiin, kun Pattayan baarikadulla asteli vastaan suomalainen Mauri: ”Olen onnen nainen, kun sain hyvän miehen”

    4. 4

      Pitkä ennuste julki: Näin talven ensimmäiset merkit saapuvat Suomeen

    5. 5

      Olisitko tiennyt vastauksen 60 000 euron arvoiseen kysymykseen? Haluatko miljonääriksi? -kisailija jäi vain kolmen kysymyksen päähän jättipotista!

    6. Näytä lisää
    1. 1

      Dopingtuomion saaneen Therese Johaugin ulkoinen olemus on jotain aivan muuta kuin kaksi kuukautta sitten – katso kuvat

    2. 2

      Työttömät kieltäytyivät työstä aina samalla selityksellä – teollisuuspohatan vastaveto saikin hakijan leuan loksahtamaan

    3. 3

      Huomaatko erikoisen yksityiskohdan? 19-vuotiaan Lisan viaton bikinikuva kummastuttaa Instagramissa

    4. 4

      Tutut liikennemerkit muuttuvat sukupuolineutraaleiksi – katso kuvat!

    5. 5

      Leivinuunin ”lisälaite” yllätti pariskunnan – tunnelmallinen lauantai-ilta meni pilalle

    6. Näytä lisää