Kirjaudu

Uutiskirje

Rekisteröidy Sektoriin ja tilaa itsellesi joko aamuisin tai iltaisin ilmestyvä uutiskirje sähköpostiisi.

Perjantai, 15.4.2005

Mitnick: ihmispalomuuri on tärkeä osa tietoturvaa

Yritykset voivat suojata luottamukselliset tietonsa tehokkaammin, mikäli he osaavat vahvistaa myös tietoturvan heikointa lenkkiä eli ihmistä, kertoi vuosia vankilassa istunut ja elokuvan aiheeksi päätynyt hakkeri Kevin Mitnick Sydneyssä järjestetyssä konferenssissa. Nykyään tietoturva-alalla työskentelevä Mitnick kehotti yrityksiä vahvistamaan nk. ihmispalomuuria kouluttamalla työväkeään. Mitnickin mukaan ei ole mitään järkeä tuhlata miljoonia euroja tuoreeseen teknologiaan, mikäli tieto vuotaa ulos ihmisten kautta.

"Tunkeutujana etsisin heikoimman lenkin. Tietoturvajärjestelmä on tehty ihmisistä, prosesseista ja teknologiasta. Hyökkääjät etsivät helpointa tietä sisään", Mitnick sanoi. Mitnick ja hänen yhtiökumppaninsa Kasperavicius käyttivät esimerkkitapauksena roskapöntön tonkimista. Kaverukset kävivät tutkimassa kuuluisan naispuolisen viihdetaiteilijan yrityksen roskiksia. Pizzalaatikoiden ja juomatölkkien seasta he löysivät sähköpostitulosteita, fakseja, palkkalaskelmia, puhelinlaskuja ja muita dokumentteja. Paperisälän joukosta he löysivät myös kuuluisuuksien henkilökohtaisia puhelinnumeroita, mukaan lukien Christina Aguileran. Roskiksesta löytyi myös erään reality-tv-ohjelmatähden nettisivuston admin-puolen osoite käyttäjätunnuksen ja salasanan kera.

Mitnick demonstroi myös, miten helposti käyttäjiä voidaan huijata luovuttamaan luottamuksellisia tietoja. Yksinkertainen keino on esittäytyä IT-osaston henkilöksi ja pyytää käyttäjältä käyttäjätunnusta ja salasanaa yrityksen tietojärjestelmään. Raskaan sarjan huijaukset voivat vaatia kuukausien tutkimusta ja näyttelemistä. Mitnick neuvoo yrityksiä kehittämään suojautumismenetelmiä tällaista sosiaalista hakkerointia vastaan.

Lue juttu K2, 15.4.2005 00:24. Lähde: ZDNet

Muita aiheeseen liittyviä uutisia

Rekisteröidy ja kirjaudu sisään, jos haluat kommentoida.

Kommentit ( 16 uutta / 16 )
pistettä.
Näytä vain kommentit joilla on vähintään
w-ber Hakkeri vs. krakkeri
w-ber, 15.4.2005 01:06:27		 Pisteet: +1
Soisin edelleen, että tietomurtoihin erikoistuneesta ja vihamielisestä hakkerista käytettäisiin termiä krakkeri (cracker). Valtaosa hakkereiksi itseään nimittävistä ei ole joko kiinnostunut tietomurroista tai sitten tekevät sitä vain huvin vuoksi, eivätkä edes yritä käyttää tietoja hyväksi. Krakkerit sen sijaan pyrkivät hyödyntämään tietoja etuuksien tai rahan toivossa.

Tai ehkä tämä on vain naiivi kuvitelma ja todellisuus on jälleen kerran kauheampi.
miksuh Re: Hakkeri vs. krakkeri
miksuh, 19.4.2005 07:08:11		 Pisteet: 0
Minä suhtaudun tohon vielä jyrkemmin, hakkeri ei edes tee niitä tietomurtoja, se on kräkkeri joka niitä tekee.
moonstone Muitakin totuuksia.
moonstone, 15.4.2005 08:46:20		 Pisteet: 0
Meillä töissä löytää päivittäin käyttäjien salasanoja, tunnuksia ja lukitsemattomia tietokoneita. Monet toimistokäyttöön tietokonetta käyttävät jättävät tietokoneet tunnuksillaan auki kahville lähtiessään. Salasanoja säilytetään näppäimistön alla tai joskus jopa näyttöön liimatussa lapussa. Haittaa ne ei tosin aiheuta kuin tunnuksen omaavalle, koska käyttäjän tunnuksella pääsee vaan omaan kalenteriin, sähköpostiin ja intraan.

itnick demonstroi myös, miten helposti käyttäjiä voidaan huijata luovuttamaan >luottamuksellisia tietoja. Yksinkertainen keino on esittäytyä IT-osaston henkilöksi >ja >pyytää käyttäjältä käyttäjätunnusta ja salasanaa yrityksen tietojärjestelmään.
Tämä onnistuu kyllä vaikka suurmarketin tukussa. Taitava ihminen huijaa ja manipuloi ketä vaan, esimerkiksi jokin aika sitten oli uutisissa juttu erään julkisuuden henkilön papereilla esiintyneestä autovarkaasta, joka onnistui viemään useita autoja ennenkuin huijaus noteerattiin.
Kirjoittajan kommentit ovat vain ja ainoastaan henkilökohtaisia kokemuksia, mielipiteitä tai tottumuksia eivätkä universaaleja totuuksia.
bungle Re: Muitakin totuuksia.
bungle, 15.4.2005 09:31:17		 Pisteet: 0
Haittaa ne ei tosin aiheuta kuin tunnuksen omaavalle, koska käyttäjän tunnuksella pääsee vaan omaan kalenteriin, sähköpostiin ja intraan.
Riippuen, mitä siellä kalenterissa, sähköposteissa ja intrassa on. Kuitenkin jos pääsee jo käyttäjätasolla sisään, on vain ajan kysymys, millon koko systeemistä pääsee sisään. Sinnehän voi jo käyttäjätunnuksilla varmaan käynnistää erinäköisiä prosesseja pyörimään.
--
"See the animal in his cage that you built, are you sure what side you're on?" -- Trent Reznor
serpentine Pässin lihaa
serpentine, 15.4.2005 08:23:45		 Pisteet: +1
Jotenkin naurettavaa, että kaikki asiantuntijat selittävät näitä samoja teesejä vuodesta toiseen. Ihminen on heikoin lenkki, salasanoja on vaikea muistaa ja siksi ne kirjoitetaan postit-lapulle jne. Hohoijaa, tuskin löytyy kovin montaa it-alan työntekijää jotka eivät noita tiedä.

Sen sijaan että nämä joka kylästä löytyvät tietoturva-asiantuntijat selittävät samoja juttuja, voisivat he oikeasti rakentaa toimivia ratkaisumalleja joilla nuo ongelmat selviävät. Koska viimeksi kuuntelitte esitelmää siitä miten konkreettisesti ratkotaan salasana-ongelma? Koska näitte systeemin joka perustuus sormenjälkeen tms. ja toimii kaikkialla. Avautuu ulko-ovi ja myös ssh-yhteys palvelimelle toimii ilman salasanoja tai koodeja? Harvassa ovat edes sellaiset systeemit joissa verkkoon kirjautuminen avaa saman tien pääsyn myös tarpeellisille palvelimille. Hitto joissain jopa intraan ja sähköpostiin tarvitaan vielä salasanat.
Patoutunutta skitsofreniaa.
miksuh Re: Pässin lihaa
miksuh, 19.4.2005 07:05:01		 Pisteet: 0
Hohhoijaa vaan itsellesi. Oletkos koskaan tullut ajatelleeksi, että suurinosa tietokoneidsn kanssa tekemisissä olevista ihmisistä on kaikea muuta kuin tietoitekniikan ja tietoturvan aasiantuntijoita?

Eli kyllä toi "Ihminen on heikoin lenkki, salasanoja on vaikea muistaa ja siksi ne kirjoitetaan postit-lapulle jne." pitää ihan ttäysin paikkansa edelleen. jokainen jolla on pikkasenkin hajua asioista tietää sen. Tota ongelmaa ei pidä aliarvioida.
Hypnos Re: Pässin lihaa
Hypnos, 15.4.2005 13:09:48		 Pisteet: 0
Sen sijaan että nämä joka kylästä löytyvät tietoturva-asiantuntijat selittävät samoja juttuja, voisivat he oikeasti rakentaa toimivia ratkaisumalleja joilla nuo ongelmat selviävät. Koska viimeksi kuuntelitte esitelmää siitä miten konkreettisesti ratkotaan salasana-ongelma? Koska näitte systeemin joka perustuus sormenjälkeen tms. ja toimii kaikkialla. Avautuu ulko-ovi ja myös ssh-yhteys palvelimelle toimii ilman salasanoja tai koodeja?
Sormenjälki tunnistus ei ole tarpeeksi luotettava tunnistusmekanismi yksinään. Tunnisteena se kelpaa vasta, kun siihen liitetään sekundaarinen tunniste esim. käyttäjätunnus, id-kortti tms. Salasanat, oikein toimiessaan, ovat varmin tunnistuskeino, ajatuksia on nimittäin todella vaikea varastaa.

Harvassa ovat edes sellaiset systeemit joissa verkkoon kirjautuminen avaa saman tien pääsyn myös tarpeellisille palvelimille. Hitto joissain jopa intraan ja sähköpostiin tarvitaan vielä salasanat.
AD ympäristössä ainakin sisäänkirjautumis salasana päästää sekä intranet palveluihin (olettaen, että IE:n "kirjaudu automaattisesti käyttäen..." option on päällä), että exchange sähköpostiin. Linux:n ja AD autentikoinnin kanssa tosin on "pieniä" ongelmia ei tosin ylitsepääsemättömiä.

Suurin osa Kevinin listaamista ongelmista on ratkaistavissa GPO:lla tms. Mutta salasanojen tuhrustaminen näppäimistön alle liimattuun postic-lappuun kieltämättä aiheutaa ongelmia. Pätevällä varmuuskopiointi suunnitelmalla voi toki palauttaa tuhotun tiedostopalvelin datan, mutta miten estää salaisten dokumenttien lukeminen? Auditoinnista ei ole kovinkaan paljon hyötyä (ellei profiloi koko käyttäjäkuntaa...), moninkertaiseta salasana suojauksesta taas saa käyttäjäkunnan vihat päälleen.

Itse lähden aina olettamuksesta, että käyttäjät vuotavat salasanansa kolmannelle osapuolelle ja suunnittelen tietoturvan sen mukaan. Rakennetaan aliverkkoja eri "suojaustasoilla" ja näin rajoitetaan fyysisesti pääsy työasemalle, josta pääsy arkaluontoisiin aineistoihin. VPN yhteyksia auditoidaan. Admin tason salasanat löytyvät ainoastaan kassakaapista ja omasta päästä.... jne. jne. Mutta tuskin järjestelmä silti murtovarma on. Päivittäin pelkään pahinta, vainoharhainen kun olen .
Opteron Re: Pässin lihaa
Opteron, 15.4.2005 19:16:57		 Pisteet: 0
Jotenkin naurettavaa, että kaikki asiantuntijat selittävät näitä samoja teesejä vuodesta toiseen. Ihminen on heikoin lenkki, salasanoja on vaikea muistaa ja siksi ne kirjoitetaan postit-lapulle jne. Hohoijaa, tuskin löytyy kovin montaa it-alan työntekijää jotka eivät noita tiedä.
Hyvä niitä on yrittää teroittaa ihmisten mieliin, ne kun tuppaa unohtumaan..
Vai miten muuten on selitettävissä sosiaalisen hakkeroinnin toimivuus ?

Sen sijaan että nämä joka kylästä löytyvät tietoturva-asiantuntijat selittävät samoja juttuja, voisivat he oikeasti rakentaa toimivia ratkaisumalleja joilla nuo ongelmat selviävät.
Olen kehitellyt ratkaisuja noihin ongelmiin, mutta ne ovat - ikävä kyllä - idean asteella, tosin toimivia sellaisia.
Siis ainakin luulen että ne toimisivat ja ovat parempia kuin mikään tähän asti.
Pitäisi varmaan nostaa takamus tästä mukavasta tuolista ja perustaa yritys..
Kuka tulee orjapalkalla töihin ? :)

oska viimeksi kuuntelitte esitelmää siitä miten konkreettisesti ratkotaan salasana-ongelma? Koska näitte systeemin joka perustuus sormenjälkeen tms. ja toimii kaikkialla.
Microsoft jotain tuollaista lupailee Longhorniin ( info-card ), tosin tuskin se toimii kaikkialla.. *köh* Linux *köh* ;)

http://sektori.com/uutiset/6426
Varasta huijaripankkien kaistaa. http://aa419.org/vampire/ladvampire.php
(Muista ottaa selaimen cache pois käytöstä).
kenu Re: Pässin lihaa
kenu, 16.4.2005 00:26:18		 Pisteet: 0
Hyvä niitä on yrittää teroittaa ihmisten mieliin, ne kun tuppaa unohtumaan.. Vai miten muuten on selitettävissä sosiaalisen hakkeroinnin toimivuus ?
Miten on selitettävissä että Jenkeissä paikallisen veroviraston työntekijät antoivat kysyjälle salasanansa, jopa ne jotka luultavasti tarkistivat kysyjän nimen viraston puhelinluettelosta eivätkä sitä sieltä löytäneet:

http://mikropc.net/uutiset/index.jsp?categoryId=at...

Kyllä se on sosiaalinen hakkerointi mikä puree.
Infra Re: Pässin lihaa
Infra, 15.4.2005 11:31:59		 Pisteet: 0
Jotenkin naurettavaa, että kaikki asiantuntijat selittävät näitä samoja teesejä vuodesta toiseen. Ihminen on heikoin lenkki, salasanoja on vaikea muistaa ja siksi ne kirjoitetaan postit-lapulle jne. Hohoijaa, tuskin löytyy kovin montaa it-alan työntekijää jotka eivät noita tiedä. Sen sijaan että nämä joka kylästä löytyvät tietoturva-asiantuntijat selittävät samoja juttuja, voisivat he oikeasti rakentaa toimivia ratkaisumalleja joilla nuo ongelmat selviävät. Koska viimeksi kuuntelitte esitelmää siitä miten konkreettisesti ratkotaan salasana-ongelma? Koska näitte systeemin joka perustuus sormenjälkeen tms. ja toimii kaikkialla. Avautuu ulko-ovi ja myös ssh-yhteys palvelimelle toimii ilman salasanoja tai koodeja? Harvassa ovat edes sellaiset systeemit joissa verkkoon kirjautuminen avaa saman tien pääsyn myös tarpeellisille palvelimille. Hitto joissain jopa intraan ja sähköpostiin tarvitaan vielä salasanat.
"Joka kylästä" löytyvät tietoturva-asiantuntijat....eli mielestäsi Mitnick on joku takapajulasta tuleva asiantuntija, joka ei ole sen taitavampi kuin kukaan muukaan? Mitnick on jo pitkään näistä asioista pitänyt luentoja, mutta eipä tunnu kukaan ottavan näitä hommia vakavasti. Mitnick on varmasti omalta osaltaan konsulttina kaikennäköisissä "tietoturvan parantamis" -ohjelmissa.
feenix Re: Pässin lihaa
feenix, 15.4.2005 13:24:19		 Pisteet: 0
"Joka kylästä" löytyvät tietoturva-asiantuntijat....eli mielestäsi Mitnick on joku takapajulasta tuleva asiantuntija, joka ei ole sen taitavampi kuin kukaan muukaan? Mitnick on jo pitkään näistä asioista pitänyt luentoja, mutta eipä tunnu kukaan ottavan näitä hommia vakavasti. Mitnick on varmasti omalta osaltaan konsulttina kaikennäköisissä "tietoturvan parantamis" -ohjelmissa.
Tuskin kannattaa lukea sellaista mitä ei kirjoitettu, totuus vain on, että todellakin jokainen mukamasgurukin näitä hokee.

Miksi Mitnick ei esittele tapoja tämän estämiseksi? Tai kerää joukkoa ihmisiä keksimään tälle ratkaisua? Loppuisi rahantulo tai pitäisi keksiä uutta sanottavaa?

Olen ihan samaa mieltä alkuperäisen kanssa, näihin asioihin pitäisi oikeasti keksiä ratkaisuja ja puuttua eikä vain hokea ongelman olemassaoloa. Ei ongelmia ratkaista niitä voivottelemalla.
Pisterajan alittavia kommentteja piilossa.
feenix Re: Pässin lihaa
feenix, 18.4.2005 12:16:20		 Pisteet: 0
Feenix voisi opetella vähän sisälukutaitoa. Lukee aika hemmetin suoraan otsikossa : _ Mitnick: ihmispalomuuri on tärkeä osa tietoturvaa_. Ei voi mun mielestä lyhyemmin ja selvemmin sanoa, että mitä kohtaa pitää parantaa/kouluttaa/kehittää tietojärjestelmissä tietoturvan kannalta.
Kas, siinähän se ratkaisu on. Joku on tärkeä osa jotain. Kehitänpä tässä sitten vedellä käyvän auton, sehän käy näin: moottori on tärkeä osa autoa. Hitsi, olipa helppoa.

Se, että Mitnick selittää tapoja miten saadaan tietoa sieltä ja täältä, tai kertoo että ongelma on ei korjaa sitä. Muutenhan maailmassa nälänhätäkin olisi korjattu kauan sitten, onhan siitä toitotettu kymmeniä vuosia.
MiiQu Re: Pässin lihaa
MiiQu, 16.4.2005 19:58:25		 Pisteet: 0
Miksi Mitnick ei esittele tapoja tämän estämiseksi? Tai kerää joukkoa ihmisiä keksimään tälle ratkaisua? Loppuisi rahantulo tai pitäisi keksiä uutta sanottavaa? Olen ihan samaa mieltä alkuperäisen kanssa, näihin asioihin pitäisi oikeasti keksiä ratkaisuja ja puuttua eikä vain hokea ongelman olemassaoloa. Ei ongelmia ratkaista niitä voivottelemalla.
Feenix voisi opetella vähän sisälukutaitoa. Lukee aika hemmetin suoraan otsikossa : _ Mitnick: ihmispalomuuri on tärkeä osa tietoturvaa_.
Ei voi mun mielestä lyhyemmin ja selvemmin sanoa, että mitä kohtaa pitää parantaa/kouluttaa/kehittää tietojärjestelmissä tietoturvan kannalta.
Luen tota otsikkoa kun pieni marsu enkä vieläkään näe siinä ratkaisua ongelmaan. Näen vain itse ongelman.
matpak Re: Pässin lihaa
matpak, 15.4.2005 14:50:58		 Pisteet: +1
Miksi Mitnick ei esittele tapoja tämän estämiseksi? Tai kerää joukkoa ihmisiä keksimään tälle ratkaisua? Loppuisi rahantulo tai pitäisi keksiä uutta sanottavaa?
Se, ettei näissä lyhyissä uutisissa Mitnickin luennoista lue mitään ratkaisuista ei tarkoita ettei hän niitä ehdota. Esimerkiksi hänen kirjansa "The art of deception" on täynnä esimerkkejä, toimintaohjeita jne. Kaksi viimeistä kappaletta sisältää pelkästään toimintaperiaatteita ja menettelytapoja.

Kannattaa muistaa, että Mitnickin ala on "social engineering", eli hän ei välttämättä ota kantaa miten tehdä salasanaa korvaavaa suojausta vaan miten saada ihmiset tajuamaan, ettei salasanaa anneta kenelle tahansa.

Mitnickin tärkein viesti on se, ettei ihmisiin saa luottaa. Jos saa soiton että "ylläpito tässä terve, tarttis sun salasanan päivitystä varten" pitäisi kellojen soida. Omakohtaista kokemusta vastaavasta tapauksesta: eräässä yrityksessä piti saada tunnus koneelle, jota hoiti ulkoistettu ylläpitäjä. En ollut aiemmin puhunut ylläpitäjän kanssa enkä ollut edes kyseisen yrityksen työntekijä, mutta tunnuksen saamiseen riitti vain soitto: "terve, pitäis saada tunnus tohon alfa-koneeseen. Niin ja voitko laittaa sudo-oikeudet kans". Ylläpitäjä antoi tunnuksen puhelimessa ja odotti vielä että pääsin varmasti sisään. Minulla oli puhtaat jauhot pussissa, mutta ei se sen vaikeampaa olisi kenenkään ulkopuolisen "murtautua" järjestelmään.

Ihminen ajattelee paljon tunteella: tämä kaveri tuntuu luotettavalta, uskon häntä. Ei tässä ole pelkästään salasanoista kysymys eikä ongelmaan ole mitään kaiken korjaavaa ratkaisua. Ainoa keino on saarnata työntekijöiden kalloon yrityksen menettelytavat ja toivoa, että se tehoaa.
mizaru, kikazaru, iwazaru.
MiiQu Re: Pässin lihaa
MiiQu, 15.4.2005 17:59:50		 Pisteet: 0
"Joka kylästä" löytyvät tietoturva-asiantuntijat....eli mielestäsi Mitnick on joku takapajulasta tuleva asiantuntija, joka ei ole sen taitavampi kuin kukaan muukaan? Mitnick on jo pitkään näistä asioista pitänyt luentoja, mutta eipä tunnu kukaan ottavan näitä hommia vakavasti. Mitnick on varmasti omalta osaltaan konsulttina kaikennäköisissä "tietoturvan parantamis" -ohjelmissa.
Kantaa ottamatta siihen mikä Mitnick on, samasta asiasta se jauhaa kun kaikki muutkin.Kuten kaveri yllä sanoi "Voisi sekin keksiä ratkaisuja asiaan eikä vaan toitottaa sitä ongelmaa".