Lue uutinen mobiilisivustolla

Mitnick hakkeroi nyt laillisesti

23.10.2003 13:55 Helsingissä vieraileva entinen krakkeriguru Kevin Mitnick varoittaa pitämästä tietoturvaa vain teknisenä asiana. Taitava rikollinen pääsee sosiaalisilla kyvyillään parhaillakin teknisillä järjestelmillä suojattuun yritykseen, kuten puolta vaihtanut ex-murtomies tietää.

- Yksikään tietojärjestelmä ei ole murtamaton. Sosiaalinen hyökkäys ohittaa kaiken teknisen tietoturvan, sanoo Kevin Mitnick, entinen tietorikollinen ja nykyinen tietoturvakonsultti.

Mitnick puhuu tietoturvan inhimillisestä puolesta, social engineeringistä. Hänen mielestään paraskaan tekninen tai fyysinen tietoturvajärjestelmä ei takaa tietoturvallisuutta, jos ihmiset eivät tiedä, miten toimia.

- Hyökkääjälle otollisia kohteita ovat kaikki ne henkilöt, jotka pääsevät järjestelmään käsiksi joko sähköisesti tai fyysisesti, Mitnick sanoo.

Verkkohyökkäystä helpompaa

Ihmisten hyväuskoisuuden ja auttamishalun hyväksikäyttäminen on helpompaa, riskittömämpää ja halvempaa kuin tietoverkkojen kautta hyökkääminen. Terävillä sosiaalisilla kyvyillä varustettu hyökkääjä voi puhumalla houkutella tai huijata henkilöstöön kuuluvilta tietoja, joiden avulla hän pääsee sisälle yrityksen järjestelmään.

- Ihmisillä on toisten auttamiseen luontainen taipumus. Heidät on myös koulutettu auttamaan ja tottelemaan muita, mutta ei välttämättä varomaan huijareita. Siksi älykäs hyökkääjä ei valitse kohteekseen yrityksen johtajaa, vaan tämän apulaisen, jolla on pääsy esimiehensä tietoihin, mutta joka ei osaa varoa, Mitnick sanoo.

Olennaista Mitnickin mukaan onkin, että yrityksen henkilöstö koulutetaan myös sellaisten tunkeutujien varalta, jotka eivät vaani tietoverkoissa. Kerran opittu asia ei pysy kauan muistissa, joten työntekijät myös uudelleenkoulutetaan säännöllisesti.

Taustalla tietomurtoja

Mitnick puhuu kokemuksesta, sillä hän on itse onnistuneesti käyttänyt tietomurroissaan menetelmiä, jotka eivät perustu verkkojen ja tietokoneiden avulla tehtävään hyökkäykseen.

Kevin Mitnick on ehkä maailman tunnetuin entinen krakkeri. Hänet tuomittiin aikoinaan vankeuteen ja mittaviin vahingonkorvauksiin tietomurroista lukuisiin suuriin yrityksiin, muiden muassa Nokiaan.

Mitnick itse sanoo toimineensa harrastuspohjalta, tarkoituksenaan osoittaa tietojärjestelmien heikkoudet.

- Tein väärin ja oli oikein, että minua rangaistiin, mutta median sensaatiohakuisuus paisutti tapaukseni myyttisiin mittoihin. En tehnyt enkä edes yrittänyt tehdä tempauksillani rahaa, Mitnick huokaa.

Krakkerista hakkeriksi

Sittemmin Mitnick on tehnyt parannuksen. Hän on perustanut yrityksen, joka tarjoaa tietoturvakonsulttipalveluita.

Yritys hyödyntää Mitnickin vahvinta osaamisaluetta, joka tunnetaan nimellä social engineering ja jolla tarkoitetaan erilaisia tietorikollisten käyttämiä ei-teknisiä suostuttelu-, houkuttelu- ja huijausmenetelmiä.

- Ja nyt minulle maksetaan hakkeroinnista, Mitnick virnistää.

Mitnick oli pääpuhujavieraana torstaina Tieturin Data Security Conference -tapahtumassa Helsingissä.

Antti Kirves toimitus@digitoday.fi

Kirjoita kommentti

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias ja ystävällinen, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit. Varauduthan siihen, että linkkejä sisältävät viestit tarkistetaan yksitellen roskapostin suodattamiseksi. Arvostamme mielipidettäsi!
Lue koko keskusteluetiketti

Bottivarmistus: mitä on kaksi ynnä viisi?

Viesti Nimi

Uutiset

Hyvinkään epäilty ampuja poistui kesken illanvieton hakemaan aseita

• Hyvinkään ampumisista epäiltyä luonnehditaan ujoksi ja hiljaiseksi
• Epäilty ampuja yöllä Facebookissa: "Oli kivaa toverit"
• Ruotsin Loreen Euroviisujen ylivoimaiseen voittoon
• Hyvinkään epäillyn ampujan motiivi yhä hämärän peitossa