Kevin Mitnick: Linkedin on murtautujan paras työkalu

Julkaistu:

Kun tietomurto perustuu ihmisten harhauttamiseen, on onnistumisprosentti pelottavan korkea.
Tietojärjestelmiin voi tunkeutua useammalla tavalla. Yksi on perinteinen tietotekninen hyökkäys, jossa järjestelmiin tunkeudutaan ulkoa käsin tietoturva-aukkojen kautta tai sisältä käsin järjestelmään ujutetun haittaohjelman kautta.

Tämän lisäksi on olemassa tapa, joka ei kirjaudu lokitiedostoihin, on käyttöjärjestelmäriippumaton ja edullinen sekä onnistumisprosentiltaan korkea, eikä aukkoa voi tukkia ohjelmistopäivityksin.

Tekniikan nimi on social engineering, joka käännetään yleensä suomeksi käyttäjän manipuloimiseksi. Tällä tarkoitetaan käyttäjän manipuloimista, huijaamista ja vaikutusvallan käyttämistä tähän. Tältä pyritään saamaan salaisia tietoja tai saamaan pääsy niihin.

Onnistuu
melkein aina


Maailman hakkereista ehkä tunnetuin, Kevin Mitnick, on rikollisen uransa jälkeen alkanut tehdä turvatestauksia yrityksille käyttäen samoja menetelmiä, joilla hän aikoinaan murtautui järjestelmiin. Nyt hän kiertää testaamisen ohella ympäri maailmaa puhumassa ihmisten jallittamisesta.

Digitoday kuunteli Mitnickin esityksen Reaktor Dev day 2013 -tapahtumassa ja esitti miehelle kysymyksiä puheen jälkeen.

Suomalaisten parhaiten tunteman murron, eli Nokian järjestelmiin tunkeutumisen 1990-luvulla, Mitnick teki juuri ihmisiä manipuloimalla. Tekeytymällä yhtiön työntekijäksi hän sai Nokian Britannian-toimistolta käyttäjätunnukset yhtiön Salon-palvelimille, joissa säilytettiin puhelimien lähdekoodeja.

Menetelmä ei ole vanhentunut vieläkään. Mitnickin mukaan sen teho on hämmästyttävän suuri.

– En ole tähän mennessä kertaakaan epäonnistunut. Samaa sanovat alalla turvatestausta tekevät kollegani, Mitnick vastaa Digitodayn kysymykseen.

Korkea onnistumisprosessi perustuu siihen, että yhden ihmisen vipuun saaminen riittää. Jos tarvittavia tietoja ei saa yhdeltä ihmiseltä, nämä saattaa saada tämän työkaverilta. Yhtiön tietoturva käyttäjän manipulointia vastaan on yhtä vahva kuin yhtiön hyväuskoisin työntekijä.

Ex-krakkerin mukaan käyttäjien manipulointihyökkäyksiltä on käytännössä mahdoton suojautua. Parhaimmillaankin yritys voi tehdä sen vain sen verran vaikeaksi, että hyökkääjä iskee sinne, mistä saa haluamansa helpommalla. 

Myyjät myyvät
ja paljastavat


Yritysten tietoisuus social engineeringistä lisääntyy, mutta harhauttamisen tavat kehittyvät myös. Useimmissa yhtiöissä helpdeskin työntekijäksi tekeytyminen ja salasanan kyseleminen käyttäjältä puhelimitse ei enää onnistu.

Sen sijaan tunkeutujat saattavat selvittää firman, jonka asiakas tunkeutumisen kohteena oleva yritys on. Kohteen käyttämien työasemien tai tietoturvaohjelmistojen valmistajan saa selville soittelemalla valmistajille ja tekeytymällä murron kohteena olevan firman asiakkaaksi. Vastaus on yleensä vain muutaman puhelinsoiton päässä.

– Myyjät haluavat myydä lisää, ja siksi he vastaavat kysymyksiin auliisti, Mitnick kertoo havainnostaan.

Saatuaan kohteestaan jonkin verran tietoa, voi hyökkääjä olla tähän yhteydessä. Sitä esitellessään yhtiön työntekijät helppo saada uskomaan, että hyökkääjä on luotettava ja oikealla asialla. Saatuaan tällä tavoin jalan oven väliin, murtautuja saa yhteydenpidon jatkuessa ennen pitkää luottamuksellista tietoa.




– Järjestelmään tunkeudutaan sosiaalisin keinoin ja kun ollaan sisällä, käytetään hakkerointityökaluja, Mitnick selittää. 

Ihmisten hyväuskoisuutta voidaan käyttää myös laitteistopohjaisiin hyökkäyksiin.

Yritysten tietohallinnot ovat tuntevat nykyisin Stuxnet-hyökkäyksissä käytetyn muistitikkutempun. Useimmat työntekijät tuskin enää tökkäisivät konttorin edessä ajelehtinutta muistitikkua kiinni työasemaansa.

Mutta moniko osaisi epäillä firman työasemat toimittavalta yhtiöltä tulleiden näppäimistöjen luotettavuutta? Kun hakkeri on selvittänyt työasemien valmistajan, on tämän nimissä helppo lähettää yritykseen erä näppäimistönauhureilla varustettuja näppäimistöjä.


Linkedin on
hyökkääjän ystävä


Social engineering -hyökkäyksessä organisaation tuntemus on välttämätöntä. Tämän yhtiöt tekevät helpoksi listaamalla verkkosivuillaan avainhenkilöt yhteystietoineen.

Mitnick kehuu Linkediniä korvaamattomaksi työkaluksi kartoituksen tekemisessä, sillä sen avulla on helppo löytää järjestelmäylläpitäjät, verkonvalvojat ja sovelluskehittäjät, joiden pääkäyttäjätunnukset ovat kullanarvoisia murtautumisessa.

Usein yhtiöihin on helpointa iskeä näille työskentelevien freelancerien kautta. Nämä käyttävät usein samoja tietokoneita yritysverkossa ja muussa käytössä. Istuttamalla tällaiselle koneelle haittaohjelman, saa sen ujutettua yleensä myös yritysverkkoon.

Mitnick kehuu Linkediniä myös freelancereiden löytämisessä. Ihmisten halu ylläpitää cv:tään auttaa tunkeutujia työssään.

Yrityksen rakenteen tunteminen auttaa myös räätälöidyissä hyökkäyksissä. Pomolta sähköpostitse tullutta pdf:ää tai palkkahallinnon nimissä olevaa Excel-tiedostoa osaston palkoista ei kovin moni jättäisi avaamatta. Se yksi klikkaus murtautujan väärentämässä sähköpostiviestissä riittää haittaohjelmatartunnan saamiseen.

Kommentit

    Näytä lisää