Tietoturva-arjen kysymyksiä ja vastauksia kirjan perusteella
Nitesh Dhanjani, Billy Rios, Brett Hardin: Hacking: The Next Generation, 2009
Kirja on melko yrityssuuntautunut, mutta kaikki aiheet kuuluvat kyllä tietoturva-ammatilaisen arkeen. Tämän kirjan ilmaiset näytteet ovat hankalasti muutaman sivun mittaisia katkelmia.
1.Tommi Tiitinen (2012-k). Mitä keinoja ulkopuolisella on hankkia yrityksestä sellaisia tietoja, joita voi käyttää sellaisenaan tai myöhempien hyökkäysten, esim. vakoilun apuna? Miksi tällaiset keinot usein toimivat?
Ulkopuolisella henkilöllä on mahdollisuus hyödyntää kaikkea yrityksen julkiseksi jättämää tietoa. Yritys saattaa pitää sitä vaarattomana, mutta hyökkääjälle se tarjoaa lähtökohtia hyökkäyksen suunnittelulle ja apuvälineitä sellaisen toteutukselle. Esimerkkejä julkisesta hankittavista tiedoista ja sen lähteistä: yleiset henkilöstön kulkureitit, roskakoreihin jätetyt tulosteet, keskusneidin lipsautukset, lentokentän aulassa, baarissa, hotellissa, työpaikkaravintolan pöydässä tai tupakkapaikalla haastateltu työntekijä tai johtaja, internetin hakukoneiden tulokset, internetistä löytyvien tiedostojen metatietojen perusteella löydetyt käyttäjätunnusrakenteet ja sähköpostiosoitteet.
Pääosin näiden tietojen toimivuus perustuu siihen, että ihmiset tekevät virhearvioita, kuten luottavat siihen, että asiat ja henkilöt ovat, miltä näyttävät, tai eivät vain välitä noudattaa annettuja sääntöjä. Esimerkkinä voisi mainita sen, että yrityksillä on usein erillisiä roskakoreja, joihin tulee jättää tulosteet, jotka mahdollisesti sisältävät luottamuksellista tietoa. Ihminen on kuitenkin luonnostaan mukavuudenhaluinen ja silloin tällöin heittää tällaisia papereita lähimpään tavalliseen roskakoriin, joka on työpöydän alla ja vaarantaa yrityksen tietoturvan, koska ei usko tiedon karkaavan roskakorista mihinkään tai tiedon olevan tärkeää. Tällä tavalla hukattuun tietoon voi kuitenkin päästä käsiksi esimerkiksi seuraavalla tavalla.
Kuka tahansa voi tulla yrityksen tupakkapaikalle pihalle juttelemaan joutavia ja esiintymään työntekijänä. Tupakkapaikka selviää parkkipaikalla kuljeskelemalla tai esim. Earth Googlella. Tupakkapaikalta voi kävellä jonkun oikean työntekijän perässä yrityksen tiloihin ja hyvällä onnella teettää itselleen kulkukortin ja sen perusteella pyytää itselleen avainta vastaanottotiskiltä vaikka vain yhdeksi päiväksi. Jos näin rohkea menettely ei onnistu, työntekijän perässä yrityksen tiloihin hiippaillut tunkeilija voi kuitenkin toimiston rakenteesta riippuen kierrellä vaikka työpisteitä ja napata roskakoreista tulosteita, pöydiltä puhelimia tai kannettavia tietokoneita. Vaikka saaliiksi jäisi vain papereita, niistä löytyy esimerkiksi käyttäjätunnuksia, sähköpostiosoitteita, suunnitelmia ja nimiä. Pelkistä tunnuksistakin voi päätellä, miten ne muodostetaan työntekijöiden nimistä, mikä altistaa tunnukset mm. brute force -hyökkäyksille.
Jos tunkeilija tietää mitä tekee, käyttäjätunnusrakenne löytyy nopeamminkin, esimerkiksi käyttämällä siihen metadatan etsintään tehtyä työkalua Metagoofil, tai etsimällä itse Googlella: filetype:ppt ”Q4 expenses”, joka palauttaa kaikki power point -tiedostot, joissa tuo ilmaus esiintyy. Hyökkääjä voi hyödyntää myös Google Hacking Databasea, jonka avulla hän saa käsiinsä palomuurien logeja, asiakasdataa ja reittejä yrityksen tietokantoihin. Lisäksi on olemassa työkaluja, kuten SEAT. Se käyttää hakumoottoreita ja tutkii yrityksen tiedostojen cacheja. Se löytyy osoitteesta http://midnightresearch.com/projects/search-engine-assessment-tool eikä pilaa hyökkääjän keuhkoja tupakansavulla.
Yrityksen julkiseksi jääneiden tiedostojen tutkiminen työkaluilla ja kampuksella liikuskelu ja tupakkapaikalla seisoskelevien työntekijöiden kanssa jutustelu saattaa johtaa siis siihen, että ulkopuolinen henkilö voi saada käsiinsä tietoa myös esimerkiksi tulevista irtisanomisista, tuotteiden julkaisuaikatauluista, projektien koodinimistä ja muusta sellaisesta. Nämä ja muilla tavoin hankitut tiedot voivat yhdessä mahdollistaa esimerkiksi social engineering -hyökkäyksien tekemisen. Irtisanomisista rennosti parkkipaikalla jutteleva henkilö saattaa myöhemmin esiintyä rekrytoivana esimiehenä, joka tietää avoinna olevista tehtävistä, irtisanomisten kohdeorganisaatiot, ajankohdan ja voi kutsua itse luomallaan sähköpostiosoitteella uutta positiota etsivää työnhakijaa haastatteluun, jossa hyökkääjälle kerrotaan entistä tarkempia tietoja. Teknisemmistä hyökkäystavoista puhutaan myöhemmissä kirjavastauksissa.
2. Olli-Pekka Pyykkö (2011-s). Mitä teknisempiä keinoja kuin social engineering ulkopuolisella hyökkääjällä on saada yrityksen työntekijä ”avustamaan” hyökkäyksessä?
Ideana on käyttää ensin teknisiä keinoja tietojen hankintaan ja soveltaa näitä tietoja niin, että hyökkäyksen kohde altistuu social engineering -keinoille ja paljastaa ehkä tietoja yrityksestään. Keinoja, joita kirjassa kuvataan ovat kohteen kalenterin ja/tai sähköpostin hakkerointi, sähköpostien väärentäminen sekä sosiaalisen median hyväksikäyttö näissä hyökkäyksissä.
Kalenterista ja sähköpostista hyökkääjä saa paljon tietoja, joita käyttämällä hänellä on huomattavasti parempi mahdollisuus saada kohteensa paljastamaan muita tietoja, joiden hankkiminen teknisin keinoin olisi paljon vaikeampaa. Sähköpostista ja kalenterista voi löytyä suoraan tietoja yrityksestä ja sen toiminnasta sekä keinoja saada esimerkiksi kohteen sihteeri lähettämään luottamuksellisia tietoja sähköpostiin, joka on hyökkääjän käytettävissä.
Sosiaalista mediaa voidaan käyttää sähköposti- ja kalenteritilien murtamiseen, jos näissä on mahdollisuus salasanan resetointi -toimintoon turvakysymyksen suojaamana. Esimerkiksi kysytään asuinpaikkaa, postinumeroa, jne. ja turvakysymyksenä on vaikka "Missä koulussa opiskelin?". Nämä tiedot on hyvinkin mahdollista löytää kohteen sosiaalisen median profiileista. Toinen mahdollinen sosiaalisen median hyväksikäyttötapa on identiteetin varastaminen. Esimerkiksi luodaan kohteen nimellä uusi profiili palveluun, jossa kohde ei ole käyttäjänä mutta hänen ystäviään on, ja aletaan verkostua näiden ystävien kanssa. Näin saadaan lisää tietoa kohteesta ja myös tämän ystävistä/tuttavista/liiketuttavista/jne. Näistä voi tulla uusia kohteita, jos he osoittautuvat kiinnostavammiksi.
3. Tero Järvenpää (2011-k). Millaisia uusia hyökkäystapoja tarjoutuu, kun tietojenkäsittely toteutuu pilvessä?
Pilvet tarjoavat hyvin skaalautuvan ympäristön erilaisten palveluiden toteuttamiseen. Pilvien mukana tulee kuitenkin joukko uudenlaisia uhkia, jotka täytyy huomioida. Ainakin Amazon tarjoaa EC2-pilvessään joukon valmiita virtuaalikoneita, joista asiakas voi valita haluamansa. Asiakas voi myös luoda uusia virtuaalikoneita ja jakaa niiden imaget muidenkin käyttöön. Asiakas voi siis halutessaan luoda pahantahtoisen virtuaalikoneen ja toivoa, että joku muu ottaa sen käyttöön. (Poisoned Virtual Machine)
Toisen uudenlaisen uhan muodostavat verkossa olevat virtuaalikoneiden hallintasivustot (management console). Vaikka virtuaalikone itsessään olisikin hyvin suojattu, on hyökkääjän mahdollista käyttää hallintasivustoa hyökkäyksen toteuttamiseen. Hallintasivustot muodostavat myös toisenlaisen uhan. Ainakin Salesforce.com antaa uutta tiliä luotaessa linkin, joka siirtää käyttäjätunnuksen ja salasanan linkin URL:ssa. Tällöin Google, tai muu hakukone, saattaa tallentaa linkin välimuistiinsa, josta se on kenen tahansa haettavissa oikeanlaisella haulla.
Hyökkääjän tekemä DDoS pilvissä olevaa palvelua vastaan saa aikaan uudenlaisen tilanteen. Normaalisti DDoS vain estäisi palvelun käytön, mutta pilvipalvelu voi skaalautua suurellekin kuormalle. Tällöin palvelua ei saada kaadettua, mutta palveluntarjoaja voi joutua maksamaan suuriakin summia suuresta määrästä käytettyjä resursseja.
4. Pasi Orpana (2011-k). Millä tavoin liikkuva työvoima on turvattomampi kuin kiinteässä työpaikassa toimiva?
Nykyään kannettavat tietokoneet ja älypuhelimet ovat arkipäivää. Liikkuva työntekijä kantaa mukanaan näitä laitteita, jotka sisältävät yrityksen yksityistä sisältöä. Logististen ongelmien lisäksi työntekijä joutuu käyttämään verkkoon pääsemiseksi erinäisiä langattomia verkkoja, esimerkiksi hotellissa tai lentokentällä. Näiden turvallisuudesta ei ole varmuutta, joten työntekijä on jo verkkoon liittyessään haavoittuvainen tietomurrolle.
Suurella osalla langattomien hotspot-verkkojen tarjoajilla ei ole tarvittavaa osaamista eikä henkilökuntaa vastaamaan verkon käyttäjien yksityisyydestä, verrattuna toimenpiteisiin, joita yrityksen verkossa tehdään turvallisuuden takaamiseksi. Yrityksessä on tehokkaat palomuurit ja ammattilaiset valvomassa liikennettä, toisin kuin vaikkapa hotellissa.
Esimerkkitapaus voisi olla seuraavanlainen. Yrityksen työntekijä käyttää kiireissään ennen lentoa lentokentän langatonta verkkoa. Hyökkääjä on kirjautunut samaan verkkoon nimettömästi odottamaan liikennettä. Hyökkääjä tutkii verkon laitteet MAC-osoitteen perusteella ja valitsee ne, jotka todennäköisemmin kuuluu kohde yritykselle. Tämän jälkeen tietomurron esteenä on enää työntekijän osaaminen toimia turvallisesti ja laitteen tietoturvaratkaisut.
5. Ville Lehvonen (2011-s). Mitä opittavaa ja kenellä voisi kirjoittajien mielestä olla tietojen kalastelua harrastavilta on-line -rikollisilta?
Kirjoittajien mielestä tietoturva-ammattilaiset voisivat oppia paljonkin tietojenkalastelijoilta. Tietämällä, miten kalastelijat toimivat, voi heidän toimiinsa yrittää varautua, ja vaikka tietojenkalastelun ennalta estäminen onkin vaikeaa, voi sen aiheuttamia vahinkoja ainakin huomattavasti vähentää. Totta kai myös kaikilla käyttäjillä (kirja tuntuu painottavan yrityskäyttäjiä) on paljon oppimista kalastelijoiden käyttämistä tekniikoista. Kalastelu on kuitenkin tekniikka, johon varautuminen vaatii kaikilta tietämystä ja panostamista. Ei riitä, että yrityksen IT-henkilöstö hallitsee tietoturva-asiat.
Tunnistamalla yleisimmät tekniikat, joita kalastelijat käyttävät, on mahdollista valistaa käyttäjiä kalastelusta ja siitä, miten epäilyttäviin sivustoihin tulisi reagoida. Yksi hyvä esimerkki on valesivustot, jotka päällisin puolin näyttävät samalta mutta sijaitsevat eri osoitteessa. Tarkkailemalla sivustojen osoitteita, joilla käyttäjä liikkuu, voi tietojen kalastelua ehkäistä jo ennalta, vaikkapa epäilyttäviä sähköposteja tarkastellessa. Myös kalastelijoiden haltuunsa kaappaamien sivustojen tunnistamiseen on kirjoittajilla hyviä ohjeita. Sivustot yleensä kyselevät outoja tietoja, joita normaalisti ei esimerkiksi sivustolle sisäänkirjauduttaessa esiinny.
Myös se, että ymmärtää millaisia vahinkoja tietojenkalastelusta voi syntyä, on kirjoittajien mielestä oleellista, jotta uhkakuvat otetaan tarpeeksi vakavasti. Paitsi että vahingot ovat mahdollisesti suuria, ei kalastelu vaadi paljoakaan vaivaa tai tietämystä sitä harjoittavalta rikolliselta. Se on erittäin tehokas hyökkäystapa, mikäli kohteena on valistumattomia käyttäjiä.
6. Markus Heiskanen (2011-k). Mitä muuta kuin auttamishaluun vetoavia social engineering -tekniikoita esitellään luvussa 8?
Luvussa 8 esitellään pääasiassa internetissä olevien sosiaalisten työkalujen kuten facebookin sekä muiden palveluiden kuten googlen mailin/kalenterin hyväksikäyttöä social engineeringissä. Esimerkiksi kerrottiin, miten salasanan palautus-lomakkeiden salaisen kysymyksen vastauksen pystyy päättelemään julkisista tiedoista kuten kotiosoitteesta tai facebook-profiilista. Päästyään lukemaan pelkkää kalenteria, pystyi hyökkääjä tekemään erilaisia johtopäätöksiä henkilön luonteesta, mikä auttoi esimerkkitapauksessa lähestymään henkilöä tavalla, joka sai hänet samaistumaan lähestyjaan ja näin luovuttamaan hänelle tärkeitä tietoja ennen pitkää.
Pääsy lukemaan henkilön maileja mahdollisti hyökkääjän opettelemaan henkilön kirjoitustyylin ja lähettämään väärästä osoitteesta hänen nimellään mailia hänen assistentilleen, joka ei huomannut, miten osoitteessa oleva acme oli korvattu sanalla acrne.
Identiteetin varastaminen luomalla kohteen nimellä profiili johonkin sosiaalisen median palveluun esitettiin tehokkaana keinona selvittää henkilön sosiaalisia suhteita
Käyttäjien Twitteriä, Facebookia yms. medioita seuraamalla on mahdollista seurata hänen tekemisiään, mielialaansa ja sijaintiansa hyvinkin reaaliajassa. Lisäksi kun tiedetään henkilön "likes and interests" niin on helppo lähestyä häntä ja saada hänet vuotamaan tietoa.
Ideana on siis hyväksikäyttää tekniikkaa ja sitä kautta saada heikoin lenkki, eli ihmiset, murrettua.
7. Timo Järvenpää (2011-k). Mistä erityisistä hyökkäysmalleista sinun olisi aikanaan tietoturvapäällikkönä hyvä osata varoittaa yrityksesi johtajia?
Nykyään hyökkääjät ovat alkaneet enemmän siirtyä pois vanhasta mallista, missä kohteet valittiin haavoittuvuuksien perusteella. Uudenlaisessa hyökkäystavassa hyökkääjät valitsevat itse kohteensa ja valitsevat parhaan lähestymistavan tämän perusteella. Kun hyökkääjä valitsee kohteensa, luontevin kohde on suurten yritysten johtajat. Heillä on luultavimmin arvokkaita tietoja ja he kuuluvat parempaan palkkaluokkaan.
Hyökkäysmalleja, joista yrityksen johtajia olisi hyvä varoittaa, on seuraavanlaisia. Ensimmäinen on toteuttaa hyökkäys sähköpostitse tai sosiaalisen median kautta. Tässä hyökkääjä tekeytyy kohteen luotetuksi henkilöksi ja lähettää tämän nimissä sähköpostia, joka sisältää jotain haitallisia linkkejä tai liitteitä. Usein nämä myös avataan, jos lähettäjään luotetaan.
Toinen malli on hyökätä johtajan assistentin kautta. Tällä saattaa olla pääsy johtajan sähköpostiin tai tapana välittää sähköposteja johtajalle. Tässä tapauksessa johtaja saattaa luottaa assistentilta tuleviin posteihin ja avata ne epäilemättä mitään. Nämä kaksi hyökkäystä voidaan toteuttaa myös muita kanavia pitkin kuin sähköpostia, kuten Twitter ja Facebook.
Kolmas tapa on saada johtajan liittämään koneeseensa saastunut muistitikku. Muistitikkuja voi saada konferensseissa, golf-klubeilla ja vastaavaissa paikoissa ilmaisina tuliaisina. Hyökkääjä voi myös toimittaa muistitikun jonkin kiinnostavan tarjouksen kanssa ja saada näin kohteen liittämään muistitikun koneeseen.
8. Saku Kässi (2011-k). Selitä lyhyesti jompikumpi luvun 10 esimerkki.
Luvun ensimmäisessä esimerkissä Acmen myyjällä, Nickillä, on tulostuokio. Siellä hän saa kuulla, että hänen esimiehensä Jack on antanut hänelle vuosiarvosteluksi vain 7/10 ja palkkaa pitäisi yrityksen taloudellisten syiden vuoksi laskea tulevana vuonna. Vielä enemmän asia kismittää Nickiä, koska hän on auttanut Jackiä näyttämään “hyvältä” firman johtoon päin ja siksi, että hän saa selville Jackin antaneen kollegalle arvostelun 10/10 ja suosittelleen ylennystä. Nick erosi Acmen palveluksesta välittömästi.
Nick pääsi töihin kilpailijalle ja vei mukanaan vanhan älypuhelimensa, kalenterimerkintöineen. Kalenterin tietojen avulla Nick otti osaa entisen firmansa myynnin puhelinpalavereihin salaa. Hän sai selville monia Acmen tekemien tarjousten yksityiskohtia ja yrityksiä, joihin tuotteita aiottiin kaupata. Näitä tietoja hän käytti hyväkseen omissa tarjouksissaan. Hän sai myös selville yrityksen wiki-saitin testikäyttäjätunnukset, ja sivuilta löytyi paljon hyödyllistä dataa. Jälkiä suojatakseen hän käytti sipulireititystä.
Kaikkien näiden tietojen avulla Nick pystyi voittamaan uudelle firmalleen kaupan, jonka seurauksena hänen entinen esimiehensä Jack sai potkut Acmesta. Nickin mielestä Jack sai ansionsa mukaan.
9. Riitta Hietaranta (2011-s). Luvun 10 toinen esimerkki.
Haddon Bennett työskenteli turvallisuusosaston varapääjohtajana Acmella, suurella luottokorttiyhtiöllä. Hänen alaisinaan työskenteli 24 ihmistä, jotka huolehtivat päivittäisestä turvallisuudesta, muun muassa tunkeutumisen jäljitysjärjestelmän tapahtumien valvonnasta (intrusion detection system, IDS). Haddonin piti lähitulevaisuudessa esittää strategiansa seuraavalle verovuodelle ja hän halusi todella tehdä vaikutuksen yrityksen johtoon saadakseen runsaan korotuksen osastonsa budjettiin.
Tämän tehdäkseen Haddon otti yhteyttä kaveriinsa Dave Hanniganiin VigilSecurityssa, joka myi tietoverkkojen turvallisuuteen erikoistuneita tuotteita. Haddon halusi pilotoida VigilSecurityn nettisovelluspalomuuria, ja ilmaisen ruuan ja drinkkien äärellä Dave saikin vakuutettua Haddonin asentamaan palomuurin Acmen päänettiserverille. Haddon suunnitteli johtokunnan kokouksessa tekevänsä SQL-injektiohyökkäyksiä serveriä vastaan, jolloin uusi hieno palomuuri estäisi ne, ja saisi Haddonin näyttämään budjetin korotuksen arvoiselta.
Sillä aikaa toisaalla... Eric Smithillä oli vakaa suunnitelma päästä Acmen luottokorttitietoihin ja niistä mustassa pörssissä maksettuihin rahoihin käsiksi. Ericin hyökkäys eteni tähän tapaan:
- Porttiskannauksen tuloksena löytyi SSH-serveri, johon pystyi yhdistämään. Lukuisien väärien salasanojen tuloksena tunkeutumisen estojärjestelmä (intrusion prevention system, IPS) esti Ericin liikenteen. Tunkeutumisyritys huomattiin Acmessa, mutta siihen ei kiinnitetty huomiota arkipäiväisenä ilmiönä.
- Yritys selvittää mahdollisia SSH-serverillä toimivia käyttäjätunnuksia tuotti tiedon, että SSH-serverin kautta Eric voisi päästä käsiksi Acmen intranetiin tunnuksella gnedostup.
- Uusi porttiskanni löysi FTP-serverin, joka ei ollut IPS:n takana. Tunnuksen gnedostu salasana selvisi brute forcella.
- Käyttäjätunnuksella ja salasanalla pääsi SSH serverin kautta tutkimaan Acmen intranetin nettisivuja.
- Nettivuilta löytyi cross-site scripting -heikkous (XSS). Eric hyödynsi sitä lataamalla sivulle viestin, joka varoitti viruksesta ja komensi kaikkia työntekijöitä lataamaan ohjelman, joka suojelisi heitä siltä. Ladattava ohjelma etsi lataajien koneilta kaikki tekstitiedostot, jotka sisälsivät sosiaaliturvatunnusten muodossa olevaa tietoa, ja lähetti ne Ericin koneelle.
- Yksi Ericin vastaanottamista tiedostoista sisälsi tuhansien ihmisten luottokorttitietoja.
Acmessa huomattiin intranetiin ilmestynyt ihmeellinen viruksentorjuntaohjelma. Uusi upea VigilSecurityn ohjelma oli edellisen viikon skannissa löytänyt XSS-heikkouden, mutta ei mitään tietoa Ericin viestissään mainitsemasta viruksesta. Ilmestyneen ohjelman ja XSS-heikkouden välillä ei nähty mitään yhteyttä.
Tarinan opetus on, että "There is no silver bullet". Hienoinkaan ohjelma ei pysty suojaamaan kaikelta, mutta se kykenee luomaan väärän turvallisuuden tunteen, joka tässäkin tapauksessa esti hyökkäyksen varhaisen tunnistamisen.