Lue uutinen mobiilisivustolla

Social engineering: mitä se on?

8.3.2002 16:30 Luvaton tunkeutuminen tietojärjestelmään ei välttämättä edellytä tietokoneen avulla tehtyä murtoa, vaan muitakin keinoja käytetään. Taitava hämärämies voi käyttää hyväkseen erilaisia taivuttelu- ja hämäystekniikoita saadakseen yrityksen varomattoman työntekijän avaamaan pääsyn luottamuksellisiin tietoihin.

Tietomurroista puhuttaessa tarkoitetaan yleensä sähköisesti toteutettua luvatonta tunkeutumista tietojärjestelmään. Pari viikkoa sitten otsikoissa oli vantaalaiskaksikko, joka ennätti murtautua satoihin kohteisiin ennen kiinnijäämistään.

Huomattavasti vähemmälle huomiolle ovat jääneet tapaukset, joissa yrityksen tärkeitä tietoja on päässyt vääriin käsiin muilla tavoin. Sen lisäksi, että työntekijät voivat vuotaa tietoja omasta tahdostaan, heitä voidaan myös huijata tai suostutella luovuttamaan niitä ulkopuolisille.

Selvähän se, ettei näistä tapauksista juuri puhuta: kohteena on miltei poikkeuksetta suuri yritys, joka pelkää kasvojensa menettämistä ja julkisuuskuvansa tahriintumista. Silti tapauksia sattuu etenkin suuressa maailmassa, jopa niin, ettei kohdeyhtiö edes tiedä joutuneensa uhriksi.

Työntekijään voidaan urkkimismielessä vaikuttaa lukemattomilla tavoilla, mutta tavoite on aina sama: saada hänet antamaan sellaista tietoa, joka avaa tunkeutujalle pääsyn yrityksen tietojärjestelmään.

Englanniksi näitä keinoja kutsutaan nimellä social engineering. Suomen kieleen ei vielä ole vakiintunut ilmiötä tarkoittavaa sanaa. Tuoreessa tietomurtoja käsittelevässä kirjassa Hakkeroinnin torjunta - Uusimmat salaisuudet ja ratkaisut käytetään termiä taivuttelumenetelmä, joka ei kuitenkaan kata kaikkia social engineering -hyökkäysten osa-alueita.

Mennäänkö ovesta...

Yhden määritelmän mukaan social engineering -termi laajemmassa merkityksessään käsittää fyysisen puolen, siis sen, missä tietojen hankinta tapahtuu, ja psykologisen puolen eli tavan, jolla ne saadaan.

Tyypillisesti yritysten tietoturva-ajattelussa panostetaan fyysisen puolen uhkilta suojautumiseen. Järjestelmän suojana on laitteita ja ohjelmia, joiden tarkoituksena on pitää ulkopuoliset yritysverkon ja yrityksen toimitilojen ulkopuolella.

Tässä suhteessa parantamisen varaa olisi paljon. Suomalaisyrityksiinkin saattaa asiaankuulumaton onnistua lampsimaan sisään pääoven kautta. Mukaan voi tarttua salasanoja tai vaikka kannettava tietokone.

- Luulen, että monissa suomalaisyrityksissäkin menee ihan täydestä, kun kävelee sisään puhelinyhtiön lippalakki päässä, latelee tekniseltä kuulostavia termejä ja selittää jotakin toimimattomista yhteyksistä, sanoo Cygaten verkkoasiantuntija Mikko Tammiruusu.

Tammiruusun mielestä kunnollisten tietoturvakäytäntöjen käyttöönotto on toimivan tietoturvan ehdoton edellytys.

- Tietoturvakoulutus on nykyisin liian laitekeskeistä. Ilman kunnollista ja toimivaa tietoturvapolitiikkaa työntekijät eivät tule ajatelleeksi turvallisuuteen liittyviä asioita, Tammiruusu toteaa.

Tammiruusun mukaan erityisen alttiita urkkijoille ovat yliopistot, joissa ihmisiä liikkuu paljon eikä kulunvalvonta ole aina kovin tehokkaasti toteutettu.

...vai kilautetaanko kaverille?

Social engineering -termin suppeampi merkitys käsittää psykologiset vaikuttamiskeinot. Järjestelmän tietoja mielivällä on käytettävissään erilaisia urkkimistapoja, joiden teho perustuu ihmisen luontaisiin taipumuksiin, kuten haluun miellyttää toisia.

Krakkeri voi esimerkiksi hankkia tietoonsa yritysjohtoon kuuluvien nimiä. Sitten hän voi soittaa alemmassa asemassa olevalle yhtiön työntekijälle ja esitellä itsensä liikematkalla olevaksi johtajaksi joka tarvitsee nopeasti vaikkapa jonkin salasanan, joka on päässyt unohtumaan.

Halu miellyttää johtavassa asemassa olevaa sekä toisaalta toivo oman aseman paranemisesta pomolle tehdyn palveluksen seurauksena voivat saada työntekijän luovuttamaan arkaluontoistakin tietoa.

Joskus pelkkä ystävällinen puhe tai imartelu saattaa antaa avaimet yrityksen kaikkein pyhimpään. Toisaalta tunkeutuja voi tekeytyä tietämättömäksikin, jolloin uhri "pääsee auttamaan" häntä.

Reverse social engineering

Murtautujalle urkkiminen ei kuitenkaan ole aivan riskitöntä; liika uteleminen tai ylenpalttinen lipevyys voi herättää epäilyksiä.

Turvallisempi, joskin samalla paljon työteliäämpi tapa kalastaa tietoja on kääntää psykologinen asetelma ylösalaisin. Murtomies voi järjestelmään päästyään hankkiutua asemaan, jossa hänen ei tarvitse urkkia tietoja, vaan työntekijät ottavat häneen yhteyttä.

Tietomurroista kirjoittava Rick Nelson on esittänyt tekstissään Methods of Hacking: Social Engineering esimerkin, jossa hän esittelee käänteisen taivuttelumenettelyn (reverse social engineering) kolme vaihetta. Murtomies on ensin pääsyt käsiksi työntekijän työasemaan ja ujuttanut siihen jotakin, joka saa koneen näyttämään epäkuntoiselta. Nelson kutsuu tätä toimintaa sabotaasiksi.

Tunkeutuja huolehtii siitä, että sabotaasin uhri ottaa ongelman huomattuaan yhteyttä juuri häneen. Sen hän voi tehdä esimerkiksi jättämällä sopivasti käyntikorttinsa uhrin löydettäväksi tai lisäämällä yhteystietonsa työaseman näyttämiin virheilmoituksiin. Tämä osa on mainostaminen.

Kolmas vaihe, auttaminen, onkin jo varsin helppo toteuttaa, koska tunkeutuja itse on ongelman tietoisesti luonutkin. Autettava tuumaa, että tunkeutuja ilmeisesti osaa korjata ongelman ja antaa tälle auliisti käyttäjätunnuksensa ja salasanansa. Näin hämärämies on päässyt järjestelmään.

Miksi social engineering?

Taivuttelu-, huijaus- ja hämäyskeinojen käyttö on krakkerille monella tavoin houkuttelevampaa kuin "perinteisten" tietomurtojen tekeminen.

Ensinnäkin yritykset, ainakin suuret ja murtomiehen kannalta houkuttelevat sellaiset, suojaavat nykyisin verkkonsa muun muassa palomuureilla ja tunkeutumisen tunnistavilla IDS-järjestelmillä. Tietomurtojen tekeminen vaatii siis teknistä osaamista.

Toiseksi, vaikka krakkerilla olisi taito murtautua yrityksen sisäiseen verkkoon, saattaa olla helpompaa ja huomattavasti nopeampaa hankkia tarvittava tieto yksinkertaisesti soittamalla kohdeyritykseen ja pyytämällä sitä.

Social engineering -hyökkäyksen onnistuminen ei myöskään ole riippuvainen siitä, minkälaisia laitteita ja mitä käyttöjärjestelmiä kohteessa käytetään. Siksi tällaiset hyökkäykset ovat sähköisiä tietomurtoja vaikeampia torjua ja havaita.

Mikä neuvoksi?

Tammiruusun mukaan social engineering on tietoturvariski myös Suomessa, vaikka paljon suurempaa uhkaa tällä hetkellä edustavatkin helppokäyttöisillä työkaluohjelmilla toteutettavat palvelunestohyökkäykset.

Hän pitää todennäköisenä sitä, että taivuttelu- ja huijausmenetelmillä voisi päästä pitkälle siinä tietoturvatilanteessa, jossa suomalaiset yritykset tällä hetkellä ovat.

Yrityksen tietoturvan heikoin lenkki on ihminen; parhaillakaan laitteilla ja ohjelmistoilla ei voida toteuttaa tehokasta tietoturvaa, jos työntekijöillä ei ole selvää kuvaa siitä, miten asiat pitäisi hoitaa.

Erityisen tärkeitä oikeat toimintatavat ovat suurissa yrityksissä, joissa henkilökuntaan kuuluvat eivät tunne toisiaan. Juuri isoihin yrityksiin social engineering -hyökkäykset suunnataankin.
Siksi tärkeintä olisikin luoda selkeä tietoturvakäytäntö, jota jokainen työntekijä myös noudattaa.

Kaiken laiteturvallisuuden lisäksi varovaisuus pitäisi ulottaa ihmisiin. Kuten Nokiaankin aikoinaan murtautunut krakkeri Kevin Mitnick on todennut, tietoturvateknologiaan voi upottaa kokonaisen omaisuuden, mutta silti järjestelmä on altis urkkijalle.

Antti Kirves toimitus@digitoday.fi

Kommentoi

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit.
Lue koko keskusteluetiketti

Bottivarmistus: mitä on neljä ynnä kymmenen?
Syötä vastaus numeroina

Viesti
Vähimmäispituus 30 merkkiä

Nimimerkki
Käytä ainoastaan kirjaimia ja numeroita, välilyönnit eivät ole sallittuja.

Varaa oma nimimerkkisi Taloussanomien uutiskommentointiin rekisteröitymällä käyttäjäksi tai kirjaudu sisään.

Rekisteröityminen ja nimimerkin varaus eivät ole pakollisia.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.

Olet kirjautunut sisään, muttet ole vielä valinnut omaa, muille käyttäjille näkyvää nimimerkkiäsi. Varaa nimimerkki omaksesi kirjoittamalla se nimimerkki-kenttään.

Varauksen jälkeen muut eivät voi käyttää nimimerkkiäsi ja se näkyy automaattisesti kaikissa kirjoittamissasi viesteissä.

Huomioithan, ettei nimimerkkiä ei voi muuttaa jälkikäteen.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.