free webpage counters
ETUSIVU materiaalit
Dokumentti
Esipuhe
Tietoturvan tavoitteet
Mikron perusturva
Sähköpostia järkevästi
Roskaposti
Mailwasher
Virustorjunta
Käyttispäivitys
Yksityistä sähköpostia
PGP
Palomuurit
Zone Alarm
Langaton verkko
Salasanat
Kännykät riskinä
Selaimen asetukset
Rajoitetut sivut
Täydennystoiminto
Välimuisti ja sivuhistoria
Anonyymisti netissä
Modeemikaapparit
Varmuuskopiointi
Poista kaikki
Nettikauppa
Liitetiedostojen vaarat
Haittaohjelmat
Kadonnut tieto takas
Viesti turvallisesti
Vakoiluvälineet
Sosiaalinen krakkerointi
Pelasta postisi
Sensuuri
Laki ja rangaistus
Termit
Kysymyksiä
Uutisia
Etätehtävät
Kirjallisuutta
Lähteet
Linkkejä

Sosiaalinen krakkerointi


Yrityksen tietoturvan heikoin lenkki on ihminen; parhaillakaan laitteilla ja ohjelmistoilla ei voida toteuttaa tehokasta tietoturvaa, jos työntekijöillä ei ole selvää kuvaa siitä, miten asiat pitäisi hoitaa. (Kirves 2002.)

Mikkeli ammattikorkeakolussa keväällä 2004 tietoturvasta puhunut suojelupoliisin ylitarkastaja Heikki Saikkonen huomauttaa, että suurimmat tietoturvan vaaratekijät piilevät yrityksen sisällä. Kyse on hölmöydestä, ajattelemattomuudesta ja vastuuttomuudesta. Esimerkiksi kännykän käyttäjät unohtavat, että suun ja mikrofonin väliä ei ole suojattu. "Sanotaan, että jos haluaa tietää, miten kilpailevalla metsäteollisuuden yrityksellä menee, riittää [kun] istuu Helsingissä ravintolavaunuun: ennen Kouvolaa tietää jo." (Leskelä 2004, 8.)

Kirves (2002) huomauttaa, että luvaton tunkeutuminen tietojärjestelmään ei välttämättä edellytä tietokoneen avulla tehtyä murtoa. Taitava hämärämies voi käyttää hyväkseen sosiaalista hakkerointia eli hän taivuttelee ja hämää yrityksen työntekijöitä, jotta hän pääsisi käsiksi luottamuksellisiin tietoihin. Niistä tapauksista, jolloin tällainen hämärätoiminta onnistuu ei juuri puhuta. Kirveen mukaan siihen on syynä, että miltei poikkeuksetta kyseessä on suuri yritys, joka pelkää kasvojensa menettämistä ja julkisuuskuvansa tahriintumista.

Tunnetun krakkerin ja nykyisen tietoturvakonsultin Kevin Mitnickin mukaan erityisesti etätyön yleistyminen helpottaa urkkijoiden työtä. Hämärämies voi soittaa yritykseen ja esittäytyä etätyöläiseksi, joka on unohtanut salasanansa. Vastaavasti etätyöntekijä, joka on irrallaan työyhteisöstä, voi lentää helposti tietoja tai salasanoja kyselevän oudon soittelijan retkuun. Tietonsa otollisista henkilöistä hämärämies hankkii mm. webin kautta. (Ahokas 2003.) Kuinkahan moni suomalainen mainostaa webissä tekevänsä etätyötä?

Englanniksi tällaista tietojen urkkimista kutsutaan nimellä social engineering. Kirveen (2002) mukaan termille ei vielä ole vakiintunun suomenkileistä vastinetta. Yleisesti puhutaan taivuttelusta, joka ei kuitenkaan terminä kata kaikkia social engineering -hyökkäysten osa-alueita. Itse olen nähnyt käytettävän termiä sosiaalinen hakkerointi, vaikka oikeampi termi olisi sosiaalinen krakkerointi.

Kiirves (2002) toteaa, että uomalaisyrityksiinkin saattaa asiaankuulumaton onnistua lampsimaan sisään pääoven kautta. Mukaánsa kutsumaton vieras voi napata vaikkapa kannettavan tietokoneen. Kirves vittaaa Cygaten verkkoasiantuntija Mikko Tammiruusuun, joka väittää monissa suomalaisyrityksissäkin meneevänihan täydestä, kun kävelee sisään puhelinyhtiön lippalakki päässä, latelee tekniseltä kuulostavia termejä ja selittää jotakin toimimattomista yhteyksistä. Tammiruusun mukaan erityisen alttiita urkkijoille ovat yliopistot, joissa ihmisiä liikkuu paljon eikä kulunvalvonta ole aina kovin tehokkaasti toteutettu.

Sosiaalisen karkkeroinnin keinot voivat olla perin yksinkertaisia. Kirves (2002) mainitsee, että krakkeri voi esimerkiksi hankkia tietoonsa yritysjohtoon kuuluvien nimiä. "Sitten hän voi soittaa alemmassa asemassa olevalle yhtiön työntekijälle ja esitellä itsensä liikematkalla olevaksi johtajaksi joka tarvitsee nopeasti vaikkapa jonkin salasanan, joka on päässyt unohtumaan."

Edellä mainittu huijaus toimii, koska työntekijällä on halu miellyttää johtavassa asemassa olevaa henkilö. Joskus riittää pelkkä ystävällinen puhe tai imartelu. Kolmas keino on tekeytyä tyhmäksi tai tietämättömäksi, jolloin pahaa aavistamaton uhri "pääsee auttamaan" krakkeria. (Kirves 2002.) Entinen krakkeri Kevin Mitnik kertoo, että ihmisillä on luontainen taipumus auttamiseen. Lisäksi koulutettu auttamaan ja tottelemaan muita, mutta ei välttämättä varomaan huijareita. (Kirves 2003.)

Kirves (2002) huomauttaa, että murtautujalle urkkiminen ei ole aivan riskitöntä. Liika uteleminen tai ylenpalttinen lipevyys voi herättää epäilyksiä. Krakkerin kannalta turvallisempi tapa on kääntää psykologinen asetelma ylösalaisin (rewerse social engineering). Tällöin krakkeri ensin murtautuu konelle ja saa aikaan "häslinkiä" ja jää osottamaan, että uhri ottaa ongelman huomattuaan yhteyttä juuri häneen. Tässä vaiheessa hän siis mainostaa, että hän voi ratkaista ongelman (esim virheilmoitus ruudulla). Kolmas vaihe on auttaminen, joka sujuukin helposti. Koneen käyttäjä pyytää apua ja saa sitä, kun ensin luovuttaa käyttäjätunnuksensa ja salasanansa.

Kirveen (2002) mukaan taivuttelu-, huijaus- ja hämäyskeinojen käyttö on krakkerille monella tavoin houkuttelevampaa kuin "perinteisten" tietomurtojen tekeminen. Syynä siihen ensinnäkin se, että yritykset suojaavat nykyisin verkkonsa mm. palomuureilla ja tunkeutumisen tunnistavilla IDS-järjestelmillä. Toiseksi saattaa olla helpompaa ja huomattavasti nopeampaa hankkia tarvittava tieto yksinkertaisesti soittamalla kohdeyritykseen ja pyytämällä sitä.

Urkkijat tekevät runsaasti taustatyötä

Hämäläinen (2004, 47) toteaa, että määrätietoinen tunkeilija tekee kotiläksynsä hyvin. Hän kerää kohdeorganisaatiostaan laajat tiedot ennen hyökkäystä. Hän onkii selville esimerkikis avainhenkilöiden nimiä, työjärjestelyjä, lomalistoja ja lomamatkoja. Varsinaista tunkeutumista voikin edeltää lukuisat tiedostelut. Hämäläinen humauttaa aiheelliseti, että tarjouspyyntöä valmistelevien asiakkaiden tai sinnikkäiden markkinatutkijoiden kysymyksiin osataan harvoin suhtautua epäluuloisesti.

Hämäläinen (2004, 48) toteaa, että vaarallisinta on tietämättömyys tietoturvasta. Siinä tapauksessa henkilöstö ei edes tiedä mitkä tiedot ovat salaisia ja mitkä eivät ole. Yksinkertaisimmillaan tietoturva on sitä, että yrityksen tiloissa noudatetaan tiukkaa kulunvalvontaa. Ketään ei saisi kulkea yrityksen tiloissa omin päin ilman vieraskorttia tai saattajaa. Puhelinpalvelunkin pitää osata sanoa ei ja delegoida epäilyksiä herättävät kysymykset ylöspäin ja pyytää soittajaa ottamaan yhteyttä vastaajan esimiheen. Näin siksi, että tunkeutuja pyrkii hyödyntämään kaikenlaiset poikkeusolosuhteet ja auktoritettien kunnioitukset. (Hämäläinen 2004, 47-48.)

Potkut saanut on uhka

Brittiläisen tutkimuksen mukaan joapuolet haastatelluista työntekijöistä sanoi olevansa valmis kostamaan potkunsa sabotoimalla yrityksen tietoverkkoa. Kuusi prosenttia haastatellusita olisi ollut valmis tuhoamaan tärkeitä tiedostoja ja neljä prosenttia voisi päästää jonkin viruksen irti jylläämään verkkoon. Kaksi kolmesta haastatelluista uskoi voivansa varastaa yrityksestä sellaista tietoa, josta voisi olla hyötyä tavoiteltaessa uutta työpaikkaa. (Mikrobitti 2003, 23.)

1) Lue seuraaca Digitodayn artikkeli "Suomalainen antaa salasanansa ja tunnuksensa vaikka puhelimessa" - Mitä yrityksen ja työntekijän pitäisi tehdä, jottei kävisi kuten tutkimuksessa?

Linkit

Social Engineering Fundamentals, Part I: Hacker Tactics. Kakkosassa vinkkejä torjuntaan.
Gartner: Käyttäjien hämääminen repii tietoturvaa: IT-viikko, kirjoittajana Markku Reiss.