Taloussanomat

Kevin Mitnick: Linkedin on murtautujan paras työkalu

Kuva: Tuomas Sauliala / Reaktor

8.10.2013 06:03 Kun tietomurto perustuu ihmisten harhauttamiseen, on onnistumisprosentti pelottavan korkea.

Tietojärjestelmiin voi tunkeutua useammalla tavalla. Yksi on perinteinen tietotekninen hyökkäys, jossa järjestelmiin tunkeudutaan ulkoa käsin tietoturva-aukkojen kautta tai sisältä käsin järjestelmään ujutetun haittaohjelman kautta.

Tämän lisäksi on olemassa tapa, joka ei kirjaudu lokitiedostoihin, on käyttöjärjestelmäriippumaton ja edullinen sekä onnistumisprosentiltaan korkea, eikä aukkoa voi tukkia ohjelmistopäivityksin.

Tekniikan nimi on social engineering, joka käännetään yleensä suomeksi käyttäjän manipuloimiseksi. Tällä tarkoitetaan käyttäjän manipuloimista, huijaamista ja vaikutusvallan käyttämistä tähän. Tältä pyritään saamaan salaisia tietoja tai saamaan pääsy niihin.

Onnistuu
melkein aina

Maailman hakkereista ehkä tunnetuin, Kevin Mitnick, on rikollisen uransa jälkeen alkanut tehdä turvatestauksia yrityksille käyttäen samoja menetelmiä, joilla hän aikoinaan murtautui järjestelmiin. Nyt hän kiertää testaamisen ohella ympäri maailmaa puhumassa ihmisten jallittamisesta.

Digitoday kuunteli Mitnickin esityksen Reaktor Dev day 2013 -tapahtumassa ja esitti miehelle kysymyksiä puheen jälkeen.

Suomalaisten parhaiten tunteman murron, eli Nokian järjestelmiin tunkeutumisen 1990-luvulla, Mitnick teki juuri ihmisiä manipuloimalla. Tekeytymällä yhtiön työntekijäksi hän sai Nokian Britannian-toimistolta käyttäjätunnukset yhtiön Salon-palvelimille, joissa säilytettiin puhelimien lähdekoodeja.

Menetelmä ei ole vanhentunut vieläkään. Mitnickin mukaan sen teho on hämmästyttävän suuri.

– En ole tähän mennessä kertaakaan epäonnistunut. Samaa sanovat alalla turvatestausta tekevät kollegani, Mitnick vastaa Digitodayn kysymykseen.

Korkea onnistumisprosessi perustuu siihen, että yhden ihmisen vipuun saaminen riittää. Jos tarvittavia tietoja ei saa yhdeltä ihmiseltä, nämä saattaa saada tämän työkaverilta. Yhtiön tietoturva käyttäjän manipulointia vastaan on yhtä vahva kuin yhtiön hyväuskoisin työntekijä.

Ex-krakkerin mukaan käyttäjien manipulointihyökkäyksiltä on käytännössä mahdoton suojautua. Parhaimmillaankin yritys voi tehdä sen vain sen verran vaikeaksi, että hyökkääjä iskee sinne, mistä saa haluamansa helpommalla. 

Myyjät myyvät
ja paljastavat

Yritysten tietoisuus social engineeringistä lisääntyy, mutta harhauttamisen tavat kehittyvät myös. Useimmissa yhtiöissä helpdeskin työntekijäksi tekeytyminen ja salasanan kyseleminen käyttäjältä puhelimitse ei enää onnistu.

Sen sijaan tunkeutujat saattavat selvittää firman, jonka asiakas tunkeutumisen kohteena oleva yritys on. Kohteen käyttämien työasemien tai tietoturvaohjelmistojen valmistajan saa selville soittelemalla valmistajille ja tekeytymällä murron kohteena olevan firman asiakkaaksi. Vastaus on yleensä vain muutaman puhelinsoiton päässä.

– Myyjät haluavat myydä lisää, ja siksi he vastaavat kysymyksiin auliisti, Mitnick kertoo havainnostaan.

Saatuaan kohteestaan jonkin verran tietoa, voi hyökkääjä olla tähän yhteydessä. Sitä esitellessään yhtiön työntekijät helppo saada uskomaan, että hyökkääjä on luotettava ja oikealla asialla. Saatuaan tällä tavoin jalan oven väliin, murtautuja saa yhteydenpidon jatkuessa ennen pitkää luottamuksellista tietoa.

Mitnick esitteli, mitä teleoperaattori Elisan nettisivuilleen laittamat tiedostot kertovat. Julkisten asiakirjojen metatiedoista voi muun muassa nähdä, minkä nimisiä työasemia yrityksessä on ja mitä ohjelmistoversioita siellä käytetään. (Klikkaa isommaksi
Kuva: Henrik Kärkkäinen

– Järjestelmään tunkeudutaan sosiaalisin keinoin ja kun ollaan sisällä, käytetään hakkerointityökaluja, Mitnick selittää. 

Ihmisten hyväuskoisuutta voidaan käyttää myös laitteistopohjaisiin hyökkäyksiin.

Yritysten tietohallinnot ovat tuntevat nykyisin Stuxnet-hyökkäyksissä käytetyn muistitikkutempun. Useimmat työntekijät tuskin enää tökkäisivät konttorin edessä ajelehtinutta muistitikkua kiinni työasemaansa.

Mutta moniko osaisi epäillä firman työasemat toimittavalta yhtiöltä tulleiden näppäimistöjen luotettavuutta? Kun hakkeri on selvittänyt työasemien valmistajan, on tämän nimissä helppo lähettää yritykseen erä näppäimistönauhureilla varustettuja näppäimistöjä.


Linkedin on
hyökkääjän ystävä

Social engineering -hyökkäyksessä organisaation tuntemus on välttämätöntä. Tämän yhtiöt tekevät helpoksi listaamalla verkkosivuillaan avainhenkilöt yhteystietoineen.

Mitnick kehuu Linkediniä korvaamattomaksi työkaluksi kartoituksen tekemisessä, sillä sen avulla on helppo löytää järjestelmäylläpitäjät, verkonvalvojat ja sovelluskehittäjät, joiden pääkäyttäjätunnukset ovat kullanarvoisia murtautumisessa.

Usein yhtiöihin on helpointa iskeä näille työskentelevien freelancerien kautta. Nämä käyttävät usein samoja tietokoneita yritysverkossa ja muussa käytössä. Istuttamalla tällaiselle koneelle haittaohjelman, saa sen ujutettua yleensä myös yritysverkkoon.

Mitnick kehuu Linkediniä myös freelancereiden löytämisessä. Ihmisten halu ylläpitää cv:tään auttaa tunkeutujia työssään.

Yrityksen rakenteen tunteminen auttaa myös räätälöidyissä hyökkäyksissä. Pomolta sähköpostitse tullutta pdf:ää tai palkkahallinnon nimissä olevaa Excel-tiedostoa osaston palkoista ei kovin moni jättäisi avaamatta. Se yksi klikkaus murtautujan väärentämässä sähköpostiviestissä riittää haittaohjelmatartunnan saamiseen.

Lue myösTämä oli Snowdenin suurin virhe Kevin Mitnickin silmissä
Jutun kirjoitti: Henrik Kärkkäinen

Henrik Kärkkäinen

Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.

Kommentit (15)

Sivut: 1 2
EdellinenSeuraava

Anonyymi
Social engineering käännetään kylläkin yleensä sosiaalinen hakkerointi.
Anonyymi: Warre 8.10.2013 6:18

Anonyymi
En mä vaan tunne mun kaikkia 500+ linkitettyä kollegaa ja kaveria. Aina otan mukaan verkkoon, kun joku Mr. tai Miss. maailmalta ehdottaa. Ja tietty klikuttelen niille kaikenmoisia taitoja, kun ne sitä pyytää. Haluan olla sosiaalisesti korrekti ja ystävällinen, niinkuin on opetettu.
Anonyymi: SuuryrityksenTyöntek 8.10.2013 7:11

Anonyymi
Facebook, Twitter ja Linkedin mahdollistavat kulissien ja virtuaalipersoonan rakentamisen chain of confidencen kera, kunhan takaajiksi saadaan sopivia lepsuilijoita. Persoonaa voidaan sitten käyttää reaalimaailmassa tapahtuviin hämäräpuuhiin.
Anonyymi: RiskitOn 8.10.2013 7:17

Anonyymi
Pillow talk on yksi kanava, joka on harvinaisen tehokas, eikä tarvita kuin yksi korva...
Anonyymi: Pillowtalk 8.10.2013 7:45

Anonyymi
En mä vaan tunne mun kaikkia 500+ linkitettyä kollegaa ja kaveria. Aina otan mukaan verkkoon, kun joku Mr. tai Miss. maailmalta ehdottaa. Ja tietty klikuttelen niille kaikenmoisia taitoja, kun ne sitä pyytää. Haluan olla sosiaalisesti korrekti ja ystävällinen, niinkuin on opetettu.


Hyvä! Verkostoituminen on nykymaailmassa kaiken A ja O
Anonyymi: facetubetwitter 8.10.2013 7:47

Anonyymi
Social engineering on paljon laajempi käsite ja sen voidaan yleistää ihmisten manipuloinniksi... onko lopputulos hyvä vai huono kohteelle riippuu tapauksesta.

Social engineering:ssä on paljon samaa kuin markkinoinnissa tai propagandassa... ja joskus ihmisen manipulointi voi olla hyvä hänelle esim. terveydenhoidossa käytetään paljon samoja menetelmiä, kun pyritään saamaan ihminen elämään terveellisemmin. Myös poliisi saattaa käyttää samoja menetelmiä, kun hän kuulustelee epäiltyä.

Loppujen lopuksi Social engineering:ssä on kyse kyvystä lukea ihmistä ja pyrkimyksestä vaikuttaa hänen tekemisiinsä.
Anonyymi: hmmmm 8.10.2013 7:51

Anonyymi
Eikö se herääminen ala jo häämöttämään lampaat, tietoisuus itsestään muiden opetamana on humpuukia.

Luonteiden suoma rehellisyys ja totuus luo vain uskottavuutta.

ps. esim. suomen ympäristö valtiot ovat pyytäneet 5 kuluvan vuoden aikana merkittäviä muutoksia maailmalla mutta täydellinen suomi ei yhtäkään.
Anonyymi: säälittävää 8.10.2013 8:01

Anonyymi
En mä vaan tunne mun kaikkia 500+ linkitettyä kollegaa ja kaveria. Aina otan mukaan verkkoon, kun joku Mr. tai Miss. maailmalta ehdottaa. Ja tietty klikuttelen niille kaikenmoisia taitoja, kun ne sitä pyytää. Haluan olla sosiaalisesti korrekti ja ystävällinen, niinkuin on opetettu.

No hullu saa olla, muttei tyhmä. Joku ehdottaa ja otan kaveriksi kaikki. Minkälainen sosiopaatti oikein olet? Sitten kehut kuinka monta kaveria sinulla on. Ihme,ettet laittanut kommenttiisi osoitettasi, niis saisit monta hakkeriuutista lukevaa hakkerikaveria. Toivottavasti et ole lääkäri, poliisi tai poliitikko..., jonka koneen ja yhteisön hakkeroinnista voisi tulla oikeasti vahinkoa.
Anonyymi: viisasaasi 8.10.2013 9:02

Anonyymi
Luulin, että Mitnick oli hakkeri, eikä krakkeri. Kaikkea sitä lukemalla oppii.
Anonyymi: Sinnemmän 8.10.2013 9:23

Anonyymi
Social engineering käännetään kylläkin yleensä sosiaalinen hakkerointi.


Eikös yleensä social engineering tarkoita sosiaalista insinööriä, vastakohtana epäsosiaaliselle nörtille?
Anonyymi: unsocialeng 8.10.2013 12:11
Sivut: 1 2
EdellinenSeuraava
Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit.
Lue koko keskusteluetiketti
Varaa oma nimimerkkisi Taloussanomien uutiskommentointiin rekisteröitymällä käyttäjäksi tai kirjaudu sisään.

Rekisteröityminen ja nimimerkin varaus eivät ole pakollisia.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.
Olet kirjautunut sisään, muttet ole vielä valinnut omaa, muille käyttäjille näkyvää nimimerkkiäsi. Varaa nimimerkki omaksesi kirjoittamalla se nimimerkki-kenttään.

Varauksen jälkeen muut eivät voi käyttää nimimerkkiäsi ja se näkyy automaattisesti kaikissa kirjoittamissasi viesteissä.

Huomioithan, ettei nimimerkkiä ei voi muuttaa jälkikäteen.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.

Uusimmat uutiset

Digiyesterday

2011

Viisi vuotta sitten

LG:n puhelimet jäivät kilpailijoiden vauhdista

27.07.2011 Televisiokauppa nosti LG-ryhmän tuloksen voitolliseksi. Pettymys oli puhelinkauppa, korelaisen LG:n puhelimien myynti notkahti vuodessa rajusti.

.