TIETOTURVA
Ossi Jääskeläinen, 11:15
Maailman tunnetuin hakkeri: Uskalla sanoa pomollesi ei
Las Vegasissa asuva Kevin Mitnick on toista kertaa elämässään Suomessa. Miehelle oli shokki saapua Helsinkiin 15 asteen pakkasella, kun kotoa lähtiessä elohopea oli saman verran plussalla.
Kylmästä vastaanotosta huolimatta Mitnick on hyväntuulinen ja karismaattinen hahmo. On helppo ymmärtää, miksi Mitnickistä tuli 80- ja 90-luvuilla hakkereiden (tai krakkereiden) kuningas. Vastoin ennakkoluuloja, hakkeri ei välttämättä ole epäsosiaalinen, tietokoneen ääressä piileskelevä, takkutukkainen finninaama, vaan hakkeroida voi myös käyttäjiä manipuloimalla. Ja juuri tämän sosiaalinen Mitnick osaa.
Mitnickin harrastama ”social engineering” on käyttäjän manipulointia, kuin sosiaalinen tietomurto, jossa ei käytetä välttämättä lainkaan teknisiä välineitä. Tarkoituksena on huijata uhria verbaalisesti esimerkiksi käyttäjätunnusten ja salasanojen haalimiseksi.
Vasta tämän jälkeen alkaa varsinainen hakkerointi – jos sitä edes tarvitaan. Uhria kun voidaan manipuloida lähettämään tai paljastamaan hakkerin kaipaamat tiedot jo pelkällä ovelalla suostuttelulla.
Nörttien rokkitähti
1980- ja 90-luvulla kannuksensa hankkinut Mitnick kiertää nykyisin maailmaa tietoturvakonsulttina. Tietoturva 2011 -seminaarissa Finlandia-talossa miestä on kuuntelemassa täysi salillinen.
Kevin Mitnick
- Syntynyt 6.8.1963
- Aloitti käyttäjien manipuloinnin12-vuotiaana.
- Murtautui DEC:n (Digital Equipment Corporation) verkkoon 16-vuotiaana, varasti RSTS/E-käyttöjärjestelmän lähdekoodin.
- Tuomittu lukuisia kertoja erilaisista tietomurroista. Pisin tuomio oli 1995 saatu viisivuotinen.
- Murtautui ehdonalaisen aikana Pacific Bellin järjestelmään, etsintäkuulutus.
- Pakeni viranomaisia 2,5 vuotta ennen kiinnijäämistään, pidätettiin 1995.
- Vapautui vankilasta tammikuussa 2000, kiellettiin muiden viestintävälineiden kuin lankapuhelimen käyttö.
- Myöhemmin oikeus kumosi kiellon – tätä ennen Lynx oli ainoa www-selain, jota mies oli koskaan päässyt käyttämään.
- Nykyään oma tietoturvakonsulttiyhtiö, Mitnick Consulting LLC.
Ennen Mitnickin puheenvuoroa yleisöä muistutetaan siitä, että esitystä ei saa videoida tai äänittää. Tämähän on kuin rock-konsertissa.
Esitys alkaa sähäkällä, musiikilla terästetyllä videoesityksellä. Jättikokoiselle ruudulle pamahtelee hienoja kuvia ja lopuksi Mitnickin The Art of Deception -kirjan kansi. ”Now he’s back!”, ruudulla julistetaan.
Kunnioittava yleisö ottaa Mitnickin vastaan kuin tähden. Mitnick selvästi nauttii esiintymisestä ja huomion keskipisteenä olemisesta.
”Tietoturvassa keskitytään laitteisiin, ei ihmisiin, mutta hakkerit voivat murtautua järjestelmään ihmisten kautta. — Hyökkääjien tarvitsee vakuuttaa vain yksi työntekijöistänne. — Kun yrityksen tietoturva on hyvällä tasolla, heikoin lenkki voikin olla työntekijä. Ja hakkerit etsivät heikoimpia lenkkejä! — Emme voi mennä Windows Updateen ja ladata päivitystä ihmisten hölmöyteen. — Tämä on lasten leikkiä, typerä hyökkäystapa, mutta se toimii 80–85 prosentissa tapauksista.”
Ja yleisö kuuntelee.
Sanoisitko ei pomollesi?
Esityksessään Mitnick näyttää useita tapoja, joilla yrityksestä voidaan varastaa tietoja ilman murtautumista tietojärjestelmään.
Terävimmäksi esimerkiksi osoittautuu julkisten tietojen käyttö hyökkäyksen suunnittelussa – helposti saatavien tietojen avulla hyökkääjä voi esittäytyä vaikkapa koko yrityksen suurimpana pamppuna. Ja harva rupeaa ampumaan alas esimiehensä kiireistä pyyntöä.
Kun pomon kännykkänumerosta tulee tekstiviesti ”Mikko Firma X:stä soittaa kohta ja kertoo meiliosoitteensa, laita L-verkkolevyltä yrityssalaisuudet.pdf sinne. Älä vastaa viestiin tai soita, TÄRKEÄ palaveri kesken vuorineuvos Oksasen kanssa!”, vain harva kyseenalaistaisi viestiä.
Kun ”Mikko” hetken kuluttua soittaa ja antaa meiliosoitteensa, tietomurto on tapahtunut – mutta ei perinteisin menetelmin, vaan ihmisiä manipuloimalla.
Toki tällaisessa tapauksessa hyökkääjän on tiedettävä, mitä tietoja hän haluaa saada, mistä ne löytyvät ja kenellä kaikilla on käyttöoikeus tietoihin. Mitä enemmän hyökkääjä tietää yrityksestä, sitä vakuuttavammalta hän voi kuulostaa ja sitä pienemmällä todennäköisyydellä ”esimiehen pyyntö” kyseenalaistetaan.
Sivu 1 / 2
Joulumieltä tai ei, let’s be careful out there in social media :-)
