Sinä olet heikoin lenkki, minä olen heikoin lenkki
Kevin D. Mitnick
Nykyään Kevin David Mitnick pyörittää maineikasta tietoturvayritystä (Kevin Mitnick and The Global Ghost Team) mutta matka on ollut pitkä ja vaiheikas. Suojautuakseen rikollisilta tulee tietää miten rikolliset ajattelevat, ja siinä ollaan Mitnickin osaamisalueen ytimessä.
Jo kaksitoistavuotiaana Kalifornialainen Mitnick kiersi lakia huijaamalla bussikuskia kertomaan paikallisen bussijärjestelmän toiminnasta tarpeeksi että pystyi itse tekemään omat bussilippunsa ja täten matkusti ilmaiseksi alueella mihin vain, milloin vain. Myöhemmin tästä niin kutsutusta sosiaalisesta peukaloinnista (kts. Social Engineering) tuli Mitnickin suosikkityökalu tietojen hankintaan.
Mitnickiä ei motivoinut raha, ei poliittinen agenda, eikä vieraan vallan päämäärien edistäminen. Mitnick oli älyllisesti utelias, ja nuorena keppostelija. Jokainen järjestelmä oli haaste, tekniset laitteet kiehtovia. Vaikka melkein kaikkea mitä Mitnick teki olisi voinut käyttää valtavaan tuhoon, ryöstöihin, kiristyksiin, se mitä todella tapahtui oli ilmaisia bussilippuja nuorelle Kevinille, ja hämmennystä McDonaldsin autokaistalla jonka tilauksia vastaanottavan radion kuusitoistavuotias poika oli hakkeroinut omaan käyttöönsä.
Petoksen taito - The Art of Deception
Nykyään Mitnick ei ole enää nuori poika, eikä myöskään rikollinen. Hänet tunnetaan "hattua vaihtaneena hakkerina" eli cowboytermein mustasta pahiksen lakista valkoiseen hyviksen lakkiin vaihtaneena hyviksenä jolla on värikäs historia. Nyt Mitnick suurella innolla ja ylpeydellä opastaa meitä maallikoita suojautumaan pahantahtoisilta urkkijoilta sekä hassuttelevilta keppostelijoilta. Mitnickin yritys keskittyy niin kutsuttuun penetration testingiin, eli käytännössä tekee hyökkäyksiä asiakasyritykseen testatakseen sen tietoturvaa. Toiminta sisältää laajan kirjon erilaisia taktiikoita ja mekanismeja joiden avulla yritykseltä pyritään saamaan salassapidettävää tietoa, tai pääsy alueille joiden kuuluisi olla turvattuna, tai mitä vaan. Jos asiakkaana on vaikka suurempi pankki, saattaa asiakas haluta yksinkertaisesti testata kuinka murtovarma heidän turvajärjestelmänsä on.
Meille maallikoille, joilla ei ole varaa palkata maailman parasta hakkeritiimiä opastamaan tietoturvan kanssa, on onneksi myös jotain. Mitnick on kirjoittanut lukuisia kirjoja tietoturvaan liittyen.
Tämä kirjoitus keskittyy lähinnä yrityksen tietoturvaan ja kirjaan The Art of Deception. Kirjassa Mitnick kertoo omien kokemuksien ja tarinoiden kautta tapauskohtaisesti esimerkkejä oikeasta elämästä, kuinka isoihin yrityksiin on murtauduttu, minkälaisia huijareita on ollut liikkeellä. Kaikissa kirjan esimerkeissä keskeistä on että hyödynnetty heikko lenkki, aukko tietoturvassa, on aina ihminen. Minä, sinä, pomo, alainen, tai vaikka yhteistyökumppani.
Me olemme ihmisiä. Ihminen on ailahteleva, tekosyitä keksivä, hajamielinen, tunteikas. Suurin "syntimme" kuitenkin usein on avuliaisuus ja hyväntahtoisuus. Vastaamme puheluun - soittaja esittäytyy kollegana joka on jäänyt oven taakse jumiin ja kokous alkaa pian. Hänellä ei ole kulkukorttia, koska unohti sen autoon ja aviomies joka toi töihin on jo ehtinyt jatkaa matkaansa. Tottakai avaamme hänelle oven. Hän halaa ja kiittelee ja pahoittelee ettei ehdi tarjoamaan kahvia, kun joutuu juoksemaan kokoukseen. Meille jää hyvä mieli, olemme tehneet hyvän teon. Todellisuudessa kuitenkin soittaja saattoi olla yritysvakooja, ryöstäjä, toimittaja, tai jotain muuta. Numero johon hän soitti löytyi firman nettisivuilta ja muita mahdollisia käytäntöjä ja firman sisäistä slangia hän oli oppinut juopuneelta kollegalta baarissa viikkoa aiemmin. Nyt tämä avuntarvitsija kerää talteen puolityhjän toimiston asiakastiedot, näkyvillä olevat salasanat ja käyttäjätunnukset, talousluvut, jopa pankkitunnukset ja kortit jos niitä säilytetään näkyvillä tai vetolaatikossa, samalla kun muut työntekijät olettavat hänen olevan oven avaajan tuttu, sillä eihän kukaan nyt tuntemattomille availisi lukittua ovea.
Keinot ovat monet. Vaikka yrityksessä olisi sovittu ja pidettäisiin kiinni ettei ulkopuolisia päästetä valvomatta toimistoon, aukkoja löytyy silti. Onko kaikki kartalla mitä tietoja saa ja mitä ei saa luvouttaa ulkopuolisille puhelimitse? Millä tavalla soittajan henkilöllisyys varmennetaan? Jos tavoitellun yhteistyökumppanin edustaja soittaa ja ehdottaa vuosisadan diiliä, muistetaanko varmistaa soittajan henkilöllisyys, vai puhutaanko innolla ja kiireessä liikaa? Tiedustelijoiden lisäksi haavoittuvuuksia on monia. Niinkin yksinkertainen asia, kuin salassapidettävien dokumenttien säilytys ja hävitys on uskomattoman vaikeaa saada oikeasti toteutumaan suunnitellusti. Paperit unohtuvat työpöydille, tai tavallisiin roskiksiin. Kun roskapussit viedään ulos, kuvitellaan että pusseihin kätketyt jätteet katoavat, mutta todellisuudessa roskissukeltaminen on jotain mitä jopa tiedustelupalvelut tekevät edelleen. Sen takia on äärimmäisen tärkeää että salassapidettävät dokumentit jotka hävitetään hävitetään kunnolla - silppurilla joka leikkaa vähintään kahdesta suunnasta, tai vaikka polttamalla, mutta vielä sitäkin tärkeämpää on että työntekijät kaikilla portailla ovat sitoutuneet suunnitelmaan ja noudattavat sitä tarkasti.
Meistä ihmisistä pahimpia tietoturva-aukkoja on sitoutumattomat työntekijät. Henkilöt jotka "tekee vaan työtään" menemällä sieltä missä aita on matalin, välittämättä seurauksista. Luottaen siihen että kaikki minkä voi kuitata inhimilliseksi virheeksi tai peitellä tekosyyllä on okei jättää huomiotta, tekemättä, tarkistamatta. Sitoutumattomuus kuitenkin on enemmän hallinnollinen ongelma kuin yksilön valuvika, ainakin useimmissa tapauksissa. Jos palkka on poljettu laillisuuden rajamaille, työilmapiiri tulehtunut ja pomot autoritäärisiä kusipäitä, niin ei siinä ketään kiinnosta tehdä yhtään seurausten uhalla vaaditun minimin yli.
Miten sitten pitää huolta tietoturvasta, kun se kuulostaa niin hankalalta? Yrityksen tulee luoda selkeät tietoturvakäytännöt joita on ensisijaisesti helppo noudattaa. Liian vaikeat, liian monimutkaiset menee aina yli ymmärryksen tai vähintään unohtuu seuraavaan kahvitaukoon mennessä. Muutama yksinkertainen nyrkkisääntö ikäänkuin huoneentauluksi seinälle. Säännöt tulee suunnitella aina yrityskohtaisesti, mutta ne voivat olla esimerkiksi tietojen selkeä luokittelu niihin joita voidaan jakaa ulos ja niihin joita ei missään nimessä jaeta ulos. Luottamuksellisten dokumenttien säilöminen yhdessä paikassa lukkojen takana on myös hyvä idea, samoin niiden hävittäminen pelkästään tietyn luotettavan silppurin kautta. Kun tietokoneet on suojattu, ja luottamukselliset asiakirjat poissa näkyviltä, ei tarvitse kantaa niin suurta huolta päätyykö toimistoon pyörimään ulkopuolisia vai ei. Kaikista tärkeintä on kuitenkin pitää huolta työntekijöiden tyytyväisyydestä ja sitoutuneisuudesta. Tyytyväinen firman tulevaisuudesta kiinnostunut työntekijä on aina valmis korjaamaan löytämänsä tietoturva-aukot, tarkistamaan tuntemattoman toimistovierailijan henkilöllisyyden, ja kaikin puolin näkemään aina hieman vaadittua enemmän vaivaa yhteisen hyvän eteen.
Tehokkuus vai tietoturva?
Tietoturvasuunnitelmaa tehdessä ei kannata kuitenkaan lähteä väkisin tukkimaan kaikkia aukkoja tehokkuuden kustannuksella. Jossain vaiheessa mennään sen rajan yli, että moninkertaiset tarkistukset joka kahvitauon jälkeen eivät enää merkittävästi lisää tietoturvaa, mutta alentavat tehokkuutta ja sen myötä ylipäätään heikentävät sitä alunperäistä syytä miksi tietoturvaa yrityksessä tarvitaan - liiketoimintaa. Kenties vaikein tehtävä on löytää se sopiva tasapaino tietoturvan ja tehokkuuden välillä, mutta se on myös ehdottoman tärkeää.
Käytämme evästeitä tässä sivustossa moniin käyttötarkoituksiin, jotka liittyvät sivuston toimivuuteen, analysointiin ja markkinointiin.
Sivuston seurantaan käytämme Googlen Analytics palvelua. Seurannan tarkoitus on kerätä tilastotietoa esimerkiksi sivun kävijämäärästä sekä suosituimmista sisällöistä.
Lisätietoja Googlen evästeistä voit lukea täältä: Googlen evästekäytäntö. Evästetiedot auttavat meitä parantamaan sivustomme toimivuutta ja käytettävyyttä.
3rd Party Cookies
This website uses Google Analytics to collect anonymous information such as the number of visitors to the site, and the most popular pages.
Keeping this cookie enabled helps us to improve our website.
Please enable Strictly Necessary Cookies first so that we can save your preferences!