Lehdistökeskus
Pysy ajan tasalla digitaalisen tietoturvan uusista tapahtumista. Lehdistötiedotteet-kohdasta löydät Secodeen liittyviä uutisia, kun taas Uutisleikkeet-, Artikkelit- ja Linkit-kohdissa voit perehtyä markkinoiden nykyisiiin suuntauksiin. Sivuston tästä osasta voit ladata myös kuvia ja logotyyppejä.
  LEHDISTÖKESKUS   
SECURITY TREND REPORTS
April 2008
Mars 2008
February 2008
December 2007
November 2007
Oktober 2007
September 2007
August 2007
Juli 2007
Juni 2007
May 2007
April 2007
Mars 2007
February 2007
Januar 2007
November 2006
LEHDISTÖTIEDOTTEET
Netsol yhdistyy ruotsalais-norjalaisen Secode AB:n kanssa
ARTIKKELIT
Sosiaalinen viehätysvoima: hakkerin vaarallisin luonteenpiirre

Sosiaalinen viehätysvoima: hakkerin vaarallisin luonteenpiirre

 

Tietoturva-alalla toimivat yritykset tekevät työtä suojatakseen järjestelmät ja tiedot asiattomien pääsyltä. Yhtä toimintatapaa niiden on kuitenkin ollut erittäin vaikeata estää pelkästään tekniikkaan perustuvilla ratkaisuilla: hakkereita, joilla on sosiaalista viehätysvoimaa, älyä ja kykyä valehdella vakuuttavasti.
San Josessa järjestettävässä RSA Security -tietoturvakonferenssissa tämä aihe on juuri esillä. Aikaisemmin tuomitut hakkerit varoittavat ilmiöstä toimialaa ja tietoturvasta kiinnostuneita yrityksiä. Mikään tekniikka tai laite ei pysty ratkaisemaan kyseistä ongelmaa.

Monet hakkerit ovat työskennelleet tai työskentelevät yritysten IT-osastoilla. He tuntevat yrityksen sisäisen kielen ja voivat helposti kirjoittaa puheluita varten käsikirjoituksen, jossa käytetään IT-osastolla työskentelevien henkilöiden oikeita nimiä ja asemia, kuten myös uskottavaa tarinaa. Tällöin he voivat soittaa puheluita ja yrittää saada yrityksessä työskenteleviä pahaa-aavistamattomia käyttäjiä paljastamaan käyttäjänimiä ja salasanoja, joilla pääsee yrityksen verkkoon. He esittäytyvät IT-osastolla työskentelevän henkilön nimellä ja aloittavat keskustelun esimerkiksi sanomalla "Olen kuullut, että tietokoneesi on käyttäytynyt viime viikolla epätavallisesti. Voitko kertoa hieman lisää?" Keskustelun edetessä hakkerin on helppoa pyytää työntekijän käyttäjänimeä ja salasanaa, jotta "ongelma" voidaan ratkaista nopeasti nyt, kun hänellä on aikaa, sillä muussa tapauksessa työntekijä saattaa joutua odottamaan apua pitkään.

Puheluun vastaavalla henkilöllä on suurella todennäköisyydellä ollut ongelmia. Jos hakkeri soittaa tarpeeksi monelle henkilölle, on erittäin todennäköistä, että joku paljastaa tällaisia tietoja ajattelemattomuuttaan. Tämän tyyppinen "social engineering" -tekniikka eli sosiaalinen tietojen keruu voi olla ensimmäinen askel onnistuneeseen tietomurtoon ja luottamuksellisten tietojen luvattomaan käyttöön johtavalla tiellä. Pahantahtoisen henkilön käytettävissä olevia mahdollisuuksia rajoittaa vain mielikuvitus. Hän voi esimerkiksi kerätä tietoja harrastuksistasi muun muassa lukemalla asuinpaikkakuntasi sanomalehden urheilusivuja ja aloittaa keskustelun onnittelemalla sinua viimeisen golf-turnauksesi tulosten tai valmentamasi jalkapallojoukkueen menestyksen johdosta. Olette lisäksi tavanneet jo muutaman kerran...

Jos lisäämme tähän väärennettyjen sähköpostiviestien lähettämisen ja kuvittelemme saavamme yllä mainittua tekniikkaa käyttävän sähköpostiviestin, jonka lähettäjänä on IT-osasto tai osastosi esimies ja vastaanottajina sinä ja työtoverisi, hakkerin onnistumismahdollisuudet kasvavat hälyttävästi.

Tietoisuus

Tämän tyyppisen hyökkäyksen mahdollisuudesta kannattaa olla tietoinen: käyttäjiä pyydetään suhtautumaan käyttäjänimiin ja salasanoihin liittyviin pyyntöihin kriittisesti. Mahdollisia varotoimenpiteitä ovat muun muassa takaisinsoitto tai muut henkilön todentamiseen soveltuvat menetelmät. Toinen mahdollisuus on opastaa työntekijöitä olemaan paljastamatta tietoja missään tapauksessa.

Yritysten välillä on suuria eroja tietoturvan kehitystasossa. Olemme huomanneet, että monissa paikoissa käyttäjätunnukset ja salasanat kirjoitetaan vieläkin keltaisiin muistilappuihin (jotka kiinnitetään tavallisesti näyttöihin). Niitä pystyvät lukemaan "vain" sellaiset henkilöt, joilla on pääsy yrityksen tiloihin, kuten siivoushenkilökunta tai vieraat.

Kuka tahansa voi käyttäytyä puhelimessa sosiaalisesti viehättävällä tavalla. Ja soittaja ei välttämättä aina ole mies.

Tarvitseeko yrityksesi apua?

Secode voi tehdä yrityksessäsi social engineering -testin ja soittokierroksen ennalta sovitun käsikirjoituksen mukaan. Työnantajille ei kerrota, ketkä työntekijöistä ovat paljastaneet tietoja. Testin tekemisen ja tunnistamisen mahdollistavien tunnusmerkkien poistamisen jälkeen tulokset julkistetaan sisäisesti ja niistä ilmenee, kuinka montaa prosenttia käyttäjistä onnistuttiin hämäämään. Nämä tiedot lisäävät merkittävästi työntekijöiden tietoisuutta tietoturva-asioissa ja kannustavat suhtautumaan asiaan vakavasti. Yhdessä yrityksen sisäistä tietoisuutta lisäävän kampanjan kanssa yrityksesi voi suojautua huomattavasti paremmin tämän tyyppisiä uhkia vastaan - ja työntekijät tuntevat olevansa osa yrityksen tietoturvakulttuuria.

Toinen tärkeä toimenpide on tunkeutumisen havaitseminen, jossa käytetään erityisesti tätä tarkoitusta varten kirjoitettuja suodattimia. Ne ilmoittavat verkon epätavallisesta käyttäytymisestä ja epätavallisesta liikenteestä, mutta tämä on jo toinen tarina.

Ota meihin yhteyttä, jos sinulla on kommentteja tai kysymyksiä.

info@secode.com