keskiviikko 9. lokakuuta 2013

Sosiaalisen hakkeroinnin asiantuntija Kevin Mitnick

Digitoday uutisoi 8.10.2013 Reaktor Dev day 2013 – tapahtumasta, jossa maailman yksi tunnetuimmista hakkereista Kevin Mitnick kertoi kuulijoilleen suurimmista tietoturvauhista. Erityisesti sosiaalisesta ihmisten manipuloinnista. Tässä koonti artikkelin avainkohdista.

  • Kevin Mitnick sanoo, että paras tapa tunkeutua järjestelmään on sosiaalisin keinoin. Hän itse tunkeutui Nokian järjestelmiin 1990-luvulla, keinonaan ihmisten manipulointi. Hän tekeytyi yhtiön työntekijäksi ja sai Nokian Britannian-toimistolta kysymällä käyttäjätunnukset yhtiön Salon-palvelimille. Salon-palvelimilla säilytettiin tuolloin puhelimien lähdekoodeja.
  • Kohdeyrityksen käyttämien työasemien tai tietoturvaohjelmistojen valmistajan ja mallin saa selville soittelemalla valmistajille ja tekeytymällä murron kohteena olevan firman asiakkaaksi. Vastauksen saadakseen ei montaa puhelinsoittoa tarvita. ”Myyjät haluavat myydä lisää, ja siksi he vastaavat kysymyksiin auliisti.”
  • Kun hakkeri on saanut selvitettyä työasemien valmistajan, hän voi sen nimissä lähettää esimerkiksi erän näppäimistönauhureilla varustettuja näppäimistöjä.
  • Social engineering –hyökkäys perustuu hyvään organisaation tuntemukseen. Yhtiön omilta kotisivuilta saa yleensä tiedon avainhenkilöistä ja heidän yhteystiedoistaan. Erityisesti verkkoyhteisöpalvelu Linkedin avulla löytyy yrityksen järjestelmäylläpitäjät ja verkonvalvojat, jotka ovat murtautumisen kannalta tärkeää tietoa.
  • Helppoja kohteita ovat myös yritykselle työskentelevät freelancerit. Jotka käyttävät konettaan samassa yritysverkossa kohteen kanssa. Jos freelancerin koneeseen saa tartutettua haittaohjelman, on se yleensä hyvin nopeasti myös leviämässä yrityksen verkossa.

Mitä ihmiset ja yritykset ovat oppineet?


Kevin Mitnick toteaa, että useimmissa yhtiöissä helpdeskin työntekijäksi tekeytyminen ja tietojen kyseleminen ei käyttäjältä puhelimitse enää onnistu.

Stuxnet –hyökkäyksissä hakkeri saastuttaa USB-muistitikun haittaohjelmalla ja vie sen esimerkiksi jonkun työntekijän työasemalle tai yrityksen etuovelle. Haittaohjelma lähtee leviämään samalla hetkellä kun utelias työntekijä liittää sen työasemaansa. Mitnickin mukaan Stuxnet-hyökkäykset ovat nykyään hyödyttömiä, koska useimmat työntekijät eivät liitä työasemaansa satunnaisia muistitikkuja.

Opsecin tekemät testit kuitenkin osoittavat, että molemmat näistä tavoista toimivat edelleen Suomessa.


Jukka Uusi-Pohjola  
Harjoittelija
OpSec Oy

Ei kommentteja:

Lähetä kommentti