Kevin Mitnick puhui tietoturvan kiertämisestä inhimillisin keinoin

"Tutkimuksissa on havaittu, että noin 80 prosenttia tietoturvavahingoista johtuu inhimillisistä tekijöistä. Mitnick on osoittanut, että teknologiaratkaisut voidaan kiertää käyttämällä ei-teknisiä keinoja sensitiivisen tiedon hankkimiseen", sanoi Tieturin osastopäällikkö Tapio Mustonen.
.............

Tuo on puppupuhetta. Jo vuosia ovat mainitut syyt olleet tiedossa, joten ei Mitnick tätä ole osoittanut. Kyllä tämän asian kokemus on jo aiemmin osoittanut.

Jostain ihmeellisestä syystä tätä ei koskaan laajemmin huomioida. Aina unohdetaan neuvoa tumpeloita.

	Re: Ei nyt ihan näinkään Anonyymi kommentoija, 24.10.2003 09:16:28	Pisteet: +2

Jostain ihmeellisestä syystä tätä ei koskaan laajemmin huomioida. Aina unohdetaan neuvoa tumpeloita.

Se ei riitä. Jos puhelimen vieressä seinällä ei ole lappua jossa neuvotaan yksityiskohtaisesti
- Älä kerro salasanoja tai käyttäjätunnuksia puhelimessa
- Älä kerro ip-osoitteita puhelimessa
- jne.

Niin jopa pätevöityneet henkilöt kyllä kertovat tiettyjä tietoja, jopa salasanoja, jos henkilö on tarpeeksi etevä kysymään.

Erityisen hyvin tämä toimii jos onnistuu soittamaan johonkin yritykseen, ja vielä sellaiseen aikaan, että vain yksi ihminen on töissä ja puhelu tulee ikäänkuin yllättäen. Jos henkilö on vielä tuore yhtiössä niin onnistumisprosentiksi lupaan 100%.

Yleensä tehokkain keino on esiintyä firman tärkeänä asiakkaana, joko uutena tai vanhana. Pelko siitä että mokaa jotain tärkeitä firman asioita saa toimimaan siten että on mieliksi soittajalle.

En kertonut näitä tietoja siksi että voisitte itse hyödyntää niitä, vaan siksi että jopa useat teistä lukijoista menisitte tuohon ansaan joku teille soittaisi. Niin, minäkin luulin ennen olevani muiden yläpuolella. Olenhan Hackers elokuvassa naureskellut idiooteille jotka kertovat puhelimessa kaiken. Olen käyttänyt tietokoneita 7-vuotiaasta asti, opiskellut ja työskennellyt ohjelmoijana ja harrastuksena perehtynyt tietoturva-asioihin ja jopa opetellut yksinkertaisia teknisiä murtautumiskeinoja. Ja sitten eräänä iltana, kun olin yksin töissä, puhelin soi...

En edes tiedä oliko kyseessä murtautuja, olisin antanut hänelle pyytämänsä käyttäjätunnukset ja salasanat, mutta en tiennyt niitä.

	Re: Ei nyt ihan näinkään Anonyymi kommentoija, 24.10.2003 10:53:35	Pisteet: 0

Ja sitten eräänä iltana, kun olin yksin töissä, puhelin soi... En edes tiedä oliko kyseessä murtautuja, olisin antanut hänelle pyytämänsä käyttäjätunnukset ja salasanat, mutta en tiennyt niitä.

Ilmankos et tiennyt.
Yleensä tärkeitä salasanoja, kun ei anneta ihmisille jokta voivat niitä antaa puhelimessa tuntemattomille.

	Re: Ei nyt ihan näinkään Anonyymi kommentoija, 24.10.2003 10:56:53	Pisteet: 0

Yleensä tärkeitä salasanoja, kun ei anneta ihmisille jokta voivat niitä antaa puhelimessa tuntemattomille.

Minulla kyllä oli käytössäni ja tiedossani rootin tunnukset useisiin eri koneisiin. Kyse ei todellakaan ollut siitä, että minulle ei olisi annettu tunnuksia siksi etten olisi pätevä vaan siksi etten ollut työskennellyt sillä alueella missä niitä tunnuksia käytettiin.

Huomaan sinusta huokuvan itsevarmuuden, kuten sanoin jo minullakin oli sitä.

	Re: Ei nyt ihan näinkään Anonyymi kommentoija, 24.10.2003 11:44:03	Pisteet: 0

Minulla kyllä oli käytössäni ja tiedossani rootin tunnukset useisiin eri koneisiin. Kyse ei todellakaan ollut siitä, että minulle ei olisi annettu tunnuksia siksi etten olisi pätevä vaan siksi etten ollut työskennellyt sillä alueella missä niitä tunnuksia käytettiin.

Ensimmäinen sääntö:
Salasanoja ei kerrota kenellekkään.
Ylläpito saa salasanat selville jos he sitä tarvitsevat ja yleensä eivät tarvitse.

Huomaan sinusta huokuvan itsevarmuuden, kuten sanoin jo minullakin oli sitä.

Minulla on tiedossani kaikki työpaikallani tarvittavat salasanat ja niitä on kyseltykkin mutta en niitä ole antanut.
Käyttäjien omiakaan salasanoja en muuta elleivät he tule korttinsa kanssa käymään ja todistamaan olevansa kuka hän väittää olevansa.

	Re: Ei nyt ihan näinkään Anonyymi kommentoija, 24.10.2003 12:09:35	Pisteet: 0

Minulla on tiedossani kaikki työpaikallani tarvittavat salasanat ja niitä on kyseltykkin mutta en niitä ole antanut.

Ilmeisesti olet työssä missä niitä kysellään usein, joten tilanne ei ole sinulle yllättävä. Mutta jotain muuta tietoa saattaisit vuotaa, sellaista mitä et edes pidä tärkeänä

	Re: Ei nyt ihan näinkään Anonyymi kommentoija, 24.10.2003 17:11:03	Pisteet: 0

Ylläpito saa salasanat selville

Miten esim. linuxin salasanojen selväkieliset muodot saa selville? (niin, ylläpitotoimiinhan tätä tietoa ei tarvita.)

	Re: Ei nyt ihan näinkään Anonyymi kommentoija, 24.10.2003 21:59:51	Pisteet: 0

Ylläpito saa salasanat selville

Miten esim. linuxin salasanojen selväkieliset muodot saa selville? (niin, ylläpitotoimiinhan tätä tietoa ei tarvita.)

<super offtopic>
Käyttämällä John the Ripperiä tai vastaavaa ohjelmaa
</super offtopic>

	Re: Ei nyt ihan näinkään Anonyymi kommentoija, 24.10.2003 14:21:00	Pisteet: +1

Yleensä tärkeitä salasanoja, kun ei anneta ihmisille jokta voivat niitä antaa puhelimessa tuntemattomille.

Siinähän se juju piileekin. Et tiedä antaneesi salasanaa väärälle henkilölle. Asiansa osaava ylläpito ei salasanoja kysele, eikä salasanoja puhelimessa anna, mutta kun on kyse asiakaspalvelusta ja asiakas asuu 100km päässä niin ei siinä auta. Asiakkaalle on annettava se salasana, tai perästä kuuluu. Ylläpidon on vain yritettävä selvittää puhelimitse onko henkilö se keneksi itseään väittää.

Ehkä herrä Mitnick ei nyt tarkoittanutkaan, että annetaan rootin salasanoja väärille henkilöille. Suurin osa hakkeroinneista alkaa, että päästään jonkun käyttäjän tunnuksella sisään. Eli siinä ei ylläpidonkaan taikakalut ja rituaalit auta, kun tumpelo käyttäjä antaa salasanansa henkilölle, joka esittäytyy ylläpitona.

Kun hakkeri pääsee sisään, hän tutkii järjestelmää ja etsii sitä todellista reikää josta mennä sisään.

Ihmiset ovat kuitenkin hyvin luottavaisia, kun on kyse tunnuksista ja salasanoista, joista he eivät ymmärrä tuon taivaallista. Kun heille mainitsee olevansa ylläpidosta niin heidän päässään kilahtaa tyhmyys-moodi päälle ja he tekevät kaiken mitä ylläpito pyytää.

Se täytyisi vain saada paremmin perille, että ne ovat henkilökohtaisia eivätkä kuulu muille. Samoin kuin pankkikortin PIN-koodi. Pankit ovat saaneet viestinsä perille, älä luovuta pankkikorttia ja pin-koodia muille, jos haluat pitää rahasi.

Toisaalta ihmiset eivät pidä sähköpostitunnustaan ja salasanaansa niin tärkeänä kuin pin-koodi. He eivät koe sitä niin uhkaavana, jos joku nyt vie heidän salasanansa, koska sen saa ylläpidosta kuitenkin uuden.

	Re: Ei nyt ihan näinkään Anonyymi kommentoija, 25.10.2003 13:54:46	Pisteet: +1

Yleensä tehokkain keino on esiintyä firman tärkeänä asiakkaana, joko uutena tai vanhana. Pelko siitä että mokaa jotain tärkeitä firman asioita saa toimimaan siten että on mieliksi soittajalle. En kertonut näitä tietoja siksi että voisitte itse hyödyntää niitä, vaan siksi että jopa useat teistä lukijoista menisitte tuohon ansaan joku teille soittaisi. Niin, minäkin luulin ennen olevani muiden yläpuolella. Olenhan Hackers elokuvassa naureskellut idiooteille jotka kertovat puhelimessa kaiken. Olen käyttänyt tietokoneita 7-vuotiaasta asti, opiskellut ja työskennellyt ohjelmoijana ja harrastuksena perehtynyt tietoturva-asioihin ja jopa opetellut yksinkertaisia teknisiä murtautumiskeinoja. Ja sitten eräänä iltana, kun olin yksin töissä, puhelin soi...
En edes tiedä oliko kyseessä murtautuja, olisin antanut hänelle pyytämänsä käyttäjätunnukset ja salasanat, mutta en tiennyt niitä.

Kyllä se näin on että kyllä noita salasanoja saa käytännössä tosi helposti kun vain soittaa ja pyytää. Yritysten asiakaspalvelu antaa niitä aivan liian helposti kun vain tietää mitä kysyy. Toiset henkilöt ovat tiukempia ja toiset suorastaan tyrkyttävät sinulle niitä. Usein ne ovat niin innoissaan kun pystyvät auttamaan että eivät edes huomaa että ketä auttavat.

Itse olen saanut puhelimella soittamalla käyttäjän salasanoista aina rootin salasanoihin asti. Nämä kylläkin liittyivät työhöni, mutta kukaan ei ole koskaan varmistanut että kuka soittaa. Joskus harvoin ne sentään tekevät takaisinsoiton ennenkuin antavat salasanoja.

	Re: Ei nyt ihan näinkään avirtan, 24.10.2003 09:18:40	Pisteet: +1

Tuo on puppupuhetta. Jo vuosia ovat mainitut syyt olleet tiedossa, joten ei Mitnick tätä ole osoittanut. Kyllä tämän asian kokemus on jo aiemmin osoittanut.

No täytyy myöntää kyllä että on herra Mitnickillä melko pitkä kokemus social engineeringistä ottaen huomioon että hänen kohdallaan tuon homman harrastaminen on alkanut tuossa 80-luvun alkupuolella liikkeelle.

Eli mielestäni parinkymmenen vuoden kokemus on kyllä ihan hyvä vakuutus asiantuntemuksesta.

Toisaalta kyllähän erilaisia social engineeringin muotoja on harrastettu varmaan jo ihmisrodun alkuhämäristä asti. Eli olet ihan oikeassa ettei herra Mitnick ole tuota social engineeringiä keksinyt. Lähinnä herra Mitnick on tuonut käsitteen julkisuuteen tuolloin kun alkoi jäädä kiinni teoistaan.

Pisterajan alittavia kommentteja piilossa.

Itseäni ei paljon jaksa kiinnosta kuka salasanoja kyselee.

- Toisaalta kyllähän erilaisia social engineeringin muotoja on harrastettu varmaan jo ihmisrodun alkuhämäristä asti. Eli olet ihan oikeassa ettei herra Mitnick ole tuota social engineeringiä keksinyt. Lähinnä herra Mitnick on tuonut käsitteen julkisuuteen tuolloin kun alkoi jäädä kiinni teoistaan.

Totta, ihmisiin kohdistuvaa tiedustelutoimintaa on harrastettu kautta aikojen mm. valtioiden toimesta. Säälittävää ja pelottavaa on se, että ei ymmärretä tätä puolta laisinkaan, vaan keskitytään lähinnä teknisen tietoturvan koventamiseen. Mitä hyötyä tästä sitten on, jos henkilöstö antaa tarvittavat tiedot vaikka puhelimitse?

Kevin Mitnick puhui tietoturvan kiertämisestä inhimillisin keinoin

Mitnick apuna pommiuhkasoittajan jäljittämisessä

GNU/Linux Summit siirtyy Finlandia-taloon

Tieturi palkitsi Viestintäviraston Data Security Award -palkinnolla

Kevin Mitnick Suomeen

Spämmääjä vältti tuomion rahalla