Suomalainen antaa salasanansa ja tunnuksensa vaikka puhelimessa
20.11.2003 08:42 Tietoturva suomalaisissa yrityksissä ja kunnissa on vaarallisen huonolla tasolla. Digitoday testasi asiaa tekemällä "kevinmitcnikit" eli ottamalla yhteyttä 30 yritykseen ja kuntaan ja pyytämällä salasanoja ja tunnuksia - kaikki kontaktoidut henkilöt luovuttivat omat tai työnantajansa salaiset tunnukset puhelimessa tai sähköpostissa.
Otimme yhteyttä 30 yritykseen ja kuntaan pyytäen heitä osallistumaan testiin, jossa yritimme selvittää kuinka helposti työntekijät luovuttavat salasanoja ja tunnuksia tuntemattomille henkilöille.
Seitsemältä saimme kirjallisen luvan, minkä jälkeen otimme yhteyttä 23 työntekijään, joista tavoitimme puhelimitse 18.
Vastanneiden joukossa oli muun muassa suuri eteläsuomalainen ja pohjoissuomalainen kaupunki, yli 500 työaseman helsinkiläisyritys ja lisäksi yrityksiä ja kuntia Etelä-Suomesta ja Pirkanmaalta.
Miten kysyttiin
Tarkoituksemme oli lähettää työntekijöille sähköpostia jonkun yrityksen tai kunnan atk-vastaavan nimellä, ja saada tällä tavoin hankkeelle uskottavuutta. Sähköposti oli muotoiltu seuraavasti:
"Hei,
Uusimme ja muutamme osan kaupungin työasemien tunnuksista tietoturvasyistä. Jarmo Mäkelä ottaa sinuun pian yhteyttä puhelimitse kysyäkseen ja uusiakseen käyttämäsi tietokoneen tunnukset ja salasanat.
Uuden salasanasi ja tunnuksesi voit muuttaa itsellesi sopiviksi puhelimessa annettujen ohjeiden mukaisesti. Salasanoja ja tunnuksia emme tietoturvasyistä käsittele ja/tai lähetä sähköpostitse.
Ystävällisin terveisin
Xxxxxx Xxxxxx
ATK-xxxxxxxxxxxx"
Miten etsittiin
Luonnollisesti halusimme testata kriittisiä pisteitä eli rahatoimistoja, palkanlaskentaa ja jopa atk-tukea.
Sähköpostin lähettämiseen on olemassa kaksikin eri tapaa. Olisimme itse voineet tehdä ohjelman, joka lähettää vastaanottajalle väärin lähettäjätiedoin varustetun sähköpostin.
Jos vastaanottaja olisi vastannut viestiin, olisi viesti saapunut haluamaamme sähköpostiosoitteeseen eli lähettäjälle, vaikka vastaanottajana olisi näkynyt joku toinen nimi.
Käytimme kuitenkin ilmaiseksi saatavaa ja vapaasti imuroitavaa Fake Mailer-ohjelmaa.
Lähetimme oheisen viestin henkilöille, joiden sähköpostiosoitteet löysimme yritysten ja kuntien kotisivuilta. Saamamme luvan perusteella saimme itse valita henkilöt, joille viesti lähetettiin.
Lisäksi olimme sopineet kertovamme työntekijöille tiedot saatuamme, että kyseessä on tietoturvatestaus, ja samalla meidän tuli pyytää työntekijää muuttamaan salasanansa uudeksi ja olemaan kertomatta salasanaa meille. Toimitimme myös työntekijän henkilötiedot luvan antajalle.
Miten vastattiin
Soitimme viestin lähettämisen jälkeen 23 työntekijälle, joista saimme yhteyden kahdeksaantoista. Soittaja kertoi nimensä ja viittasi työntekijän saamaan viestiin ?atk-päälliköltä?.
Kaikki työntekijät kertoivat salasanansa ja/tai tunnuksensa puhelimessa. Kuudelta työntekijältä emme sopimuksen mukaan saaneet kysyä tunnusta; he kertoivat kuitenkin salasanansa. Salasanat olivat tasoa: ?päivä?, ?kaupunki?, ?entinen? ja jopa ?SALA?.
Testin tulkinnassa on huomioitava, ettemme kysyneet ja saaneet pelkkiä henkilökohtaisia salasanoja ja tunnuksia, vaan myös esimerkiksi verkon salasanat ja tunnukset.
Työntekijät olisivat helposti saaneet tietoonsa kyseisen sähköpostin valheellisuuden napsauttamalla hiiren kakkospainikkeella viestiä ja valitsemalla Asetukset. Saatavista tiedoista olisi voinut havaita, ettei lähetetty viesti ole aito, eikä se ole tullut lähettäjätiedoissa näkyvältä lähettäjältä. Osaava krakkeri osaisi muuttaa nämäkin tiedot haluamikseen.
Erikoista asiassa on, että monet organisaatiot eivät salli hyviä salasanoja, vaan salasanan pituus on rajattu esimerkiksi kahdeksaan merkkiin. Esimerkiksi Sampo-pankissa kirjautumissalasana on vain neljä merkkiä - hyvää esimerkkiä käyttäjille!
Innostusta ja hämminkiä
Kaksi yritystä innostui asiasta niin, että kokeili itse ?kevinmitnickejä?. Toinen yritys otti yhteyttä palkkalaskentaan ja pyysi lähettämään edellisen kuukauden palkkalaskennan tietoja - ja sai tiedot.
Eräs kunta oli noin vuosi sitten uudistanut laitekantansa ja ohjelmistonsa. Työntekijöille oli myös jaettu tietoturvaohjeistus. Tästä huolimatta saimme tiedot ja tietohallinto on nyt ihmeissään luetaanko ohjeistuksia ja kuunnellaanko varoituksia. ?Meillä ei pitänyt näin käydä?, oli ensimmäinen kommentti.
Kaikkien osallistuneiden palaute testiin oli kiitollinen. Osa kunnista ja yrityksistä oli käynyt asian yksityiskohdat läpi lakimiestensä avulla. Osa yrityksistä kieltäytyi lakimiesten ohjeistamana osallistumasta testiin.
- Jotain tuon tapaista olisin odottanutkin, mutta silti hämmästyttää kuinka moni on antanut tietonsa, Valtionvarainministeriön projektipäällikkö Olli-Pekka Rissanen sanoo.
- Ei tällaiseen tietoturvan pettämiseen varmasti löydy muuta selitystä kuin kulttuuri ja oppiminen. Asioiden täytyy iskostua niin tiukasti mieleen, että osaa toimia poikkeuksellisissakin tilanteissa, hän pohtii.
- Kun kotiovi lukitaan, tiedetään tarkalleen miksi se tehdään. Poikkeustilanteissakin osataan toimia ja arvioida riskit. Samoin lukitaan firman ovi, mutta sen kohdalla jo helpommin päästetään hyvä selittäjä livahtamaan sisään työpakki kädessä, Rissanen arvelee.
Miksi tietoja jaellaan?
Monissa organisaatioissa tietoja jaellaan jopa pelkän puhelinsoiton perusteella. Tuskin kukaan haluaa krakkeria kannettavan tietokoneensa kanssa seisomaan terveyskeskuksen nurkan taakse ja tarkastelemaan vuotavan ja huonosti suojatun wlan-yhteyden kautta naapurin potilastietoja. Tosin nämä huonosti suojatut wlan-yhteydet voi kaapata haltuunsa ilman puhelinsoittojakin.
Kansalaisilla on oikeus vaatia tietoturvan olevan edes siedettävässä kunnossa. Meillä on oikeus vaatia kuntien, yritysten ja valtion päättäjiä puuttumaan tietoturvattomuuteen konkreettisella tavalla.
- Mielenkiintoinen tutkimus, joka osoittaa tietoturvakulttuurin todellista puuttumista, kommentoi Viestintäviraston tietoturvaosaston päällikkö Timo Lehtimäki. Ihmiset (etenkin täällä Suomessa) ovat hyväuskoisia, sinisilmäisiä ja kovin auttavaisia. Tietoturva-asioissa tämä ominaisuus voi olla kovin huono.
- Uskoisin että kyllä valistuksella saadaan tilannetta paremmaksi, mutta aikaahan siihen kuluu. Tekniset haavoittuvuudet yms. ovat vakava uhka, mutta käytännössä ihminen on kuitenkin aina suurin riskitekijä, Lehtimäki pohtii.
- Tietotekniikan ja tietoturvan perusteet tulisivat olla kansalaistaitoja. Kestää kuitenkin kauan ennen kuin tämä uusi sukupolvi on valmis, hän arvelee.
- Toinen seikka on tietysti organisaatioissa tapahtuva jatkuva koulutus. Tällä tasollahan asiat eivät ole mitään rakettitiedettä vaan puhtaan maalaisjärjen käyttöä.
- Miksi opit eivät ole menneet perille? Vaikea sanoa. Ehkä väärinkäytöstapauksia on kuitenkin suhteellisen vähän - tällöin ei ole tapahtunut laajamittaisesti myöskään sitä kuuluisaa kantapään kautta oppimista, Lehtimäki arvelee.
Social engineering
Ihmisten hyväuskoisuuden ja auttamishalun hyväksikäyttäminen on helpompaa, riskittömämpää ja halvempaa kuin tietoverkkojen kautta hyökkääminen. Hyökkääjä voi puhumalla houkutella tai huijata henkilöstöön kuuluvilta tietoja, joiden avulla hän pääsee sisälle yrityksen järjestelmään, tietoturvatoimittaja Antti Kirves kirjoittaa digitodayssa lokakuun lopulla julkaistussa artikkelissa.
- Ihmisillä on toisten auttamiseen luontainen taipumus. Heidät on myös koulutettu auttamaan ja tottelemaan muita, mutta ei välttämättä varomaan huijareita. Siksi älykäs hyökkääjä ei valitse kohteekseen yrityksen johtajaa, vaan tämän apulaisen, jolla on pääsy esimiehensä tietoihin, mutta joka ei osaa varoa, parannuksen tehnyt entinen krakkeri Kevin Mitnick sanoo samassa jutussa.
Mitnickin mukaan kaikkein olennaisinta on, että yrityksen henkilöstö koulutetaan selviämään myös sellaisista tunkeutujista, jotka eivät vaani tietoverkoissa. Kerran opittu asia ei pysy kauan muistissa, joten työntekijät on myös uudelleenkoulutettava säännöllisesti.
Jarmo Mäkelä toimitus@digitoday.fi
- Digitodayn tuoreimmat uutiset.
- 25.5. Robottikäsivarsi hinasi Dragonin asemalle
- 25.5. Googlen Android-kauppa sai uusia rahastuskeinoja
- 25.5. Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen
- 25.5. Diablo III:n julkaisija hekumoi myyntiä ja pahoittelee bugeja
- 25.5. Lumialla voi katsella videoklippejä
- 25.5. Applen Cook kieltäytyy optioiden osingoista
- 25.5. ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia
- 25.5. Tämä käkikello muni Pebblen Kickstarter- pesään
- 25.5. Facebook Camera ottaa ja jakaa kuvia iPhonessa
- 24.5. IPhoneen uusi alihankkija
- 24.5. IBM pitää iPhonen Siriä tietoturvariskinä
- 24.5. Yle siirtää seuraavaksi Pasilan teräväpiirtoon
- 24.5. Nokia luopuu isosta massatapahtumasta
- 24.5. Huhu: Symbianiin ei enää päivityksiä
- 24.5. Blackberryn joukot harvenevat
- 24.5. Adoben flash saa saattohoitoa Windows 8:ssa
- 24.5. HP irtisanoo ja palaa taulutietokoneisiin
- 24.5. Motorola Mobilityn johdossa on nyt myyntimies
- Uusimmat
- 48h luetuimmat kaikista uutisista.
- 24.5. Huhu: Symbianiin ei enää päivityksiä
- 25.5. Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen
- 25.5. Lumialla voi katsella videoklippejä
- 24.5. IBM pitää iPhonen Siriä tietoturvariskinä
- 24.5. HP irtisanoo ja palaa taulutietokoneisiin
- 25.5. Googlen Android-kauppa sai uusia rahastuskeinoja
- 24.5. Nokia luopuu isosta massatapahtumasta
- 24.5. Adoben flash saa saattohoitoa Windows 8:ssa
- 25.5. ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia
- 24.5. IPhoneen uusi alihankkija
- Luetuimmat
- 48h suositelluimmat kaikista uutisista.
- Suositelluimmat
- 48h kommentoiduimmat kaikista uutisista.
- 24.5. Huhu: Symbianiin ei enää päivityksiä
- 25.5. Lumialla voi katsella videoklippejä
- 24.5. IBM pitää iPhonen Siriä tietoturvariskinä
- 25.5. ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia
- 25.5. Applen Cook kieltäytyy optioiden osingoista
- 24.5. IPhoneen uusi alihankkija
- 24.5. Nokia luopuu isosta massatapahtumasta
- 24.5. HP irtisanoo ja palaa taulutietokoneisiin
- 24.5. Adoben flash saa saattohoitoa Windows 8:ssa
- 25.5. Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen
- Kommentoiduimmat
RSS-feedit
Seuraa Digitodayn kaikkia uutisia tai vain tiettyä osiota RSS:llä.
Palautetta?
Lähetä risut, ruusut ja uutisvinkit toimitukselle.
Uusimmat uutiset
- IBM pitää iPhonen Siriä tietoturvariskinä 15:40
- Adoben flash saa saattohoitoa Windows 8:ssa 09:17
- Googlen Larry Page: Facebook pitää käyttäjiä panttivankeina 07:00
- Anonymous löysi reitin jenkkiministeriön palvelimelle 22:24
- ”Apple ei anna kehittää virustorjuntaa iPhoneen” 16:55
- Uutuustuotteen lupaus verkkopelaajille: ei enää ärsyttäviä salasanoja 13:55
- Mobiilikonnat entistä ovelampia: Esimerkkinä uusi Angry Birds 14:24
- Äärijuutalaisten nettikokous täyttää kaksi stadionia 07:00
- Lisää
Poiminnat
Digiyesterday
Viisi vuotta sitten
Suuri tietokantavarkaus johti luottokorttipetoksiin Britanniassa
27.05.2007 Cable & Wireless syyttää entistä johtajaansa tietokantavarkaudesta. Kannasta oli 100 000 asiakkaan tiedot.
Kolme vuotta sitten
Nokian Ovi joutui heti avajaispäivänä remonttiin
27.05.2009 Iso kävijäpiikki yllätti Nokian uuden sovelluskaupan. Palvelujen hidastelun vuoksi Nokia joutui lisäämään palvelinkapasiteettia.
Taloussanomat
- Asuntopula ja 24 600 tyhjää asuntoa, mikä kaupunki? 06:01
- Suomikin oli hukkua liian vahvaan valuuttaan 06:09
- Yritysguru: Facebook tappaa Piilaakson 10:17
- Muhkean muovinen Nissan Juke 06:05
- Facebookissa vihainen vastaanotto – IMF-johtaja pehmensi Kreikka-lausuntojaan 09:18
- Yllätys? Aurinkohan säteilee täällä Saksan malliin 06:09
- Ainakin 2000 saa potkut RIMiltä 09:44
- Jos Kreikka lähtee, Saksa kärsii 11:08
- Suomi löysi taas Nokian älypuhelimet 06:01
- Autonvuokrauksessa hurjat eurohintaerot 06:09
- » Taloussanomat.fi
