Personalen är säkerhetshål nr 1
av Bo Ingves Forum 2013-10, sida 06, 31.10.2013
Det var stor show när världens mest kända hackare och numera säkerhetsexpert, Kevin Mitnick, i början av oktober infiltrerade Helsingfors inom ramen för Reaktor dev day. Som en liten uppvärmning visade Kevin Mitnick sårbarheten på en avdelning hos en av de finska mobiltelefonoperatörerna. Kvällen innan hade han haft tråkigt på hotellet och förstrött kollat upp hur många datorer och vilken typ av operativsystem företaget använde. Samt samtliga mailadresser till personalen, även hemligstämplade. “Det var inte svårt, inte svårt alls”, säger han. Den ringa svårighetsgraden kan diskuteras, men tilltron till telefonoperatörernas datasäkerhet fick sig nog en törn. Med sin lilla säkerhetscheck bröt Mitnickinte sig in i några direkt kritiska affärssystem. Men mailadresserna öppnar många dörrar för lite ’social engineering’, i det här fallet att man lurar en person att ge hemlig information genom att uppge sig vara någon annan. “I lite annan form funkade det när jag som yngling lurade till mig källkoden till Motorola MicroTac. Då var det name-dropping per telefon som gällde. Det slutade med att säkerhetschefen öppnade sin personliga systembakdörr för att filen skulle kunna skickas till en FTP-adress utanför företagets interna nät.” Mitnick blev slutligen fast för sina hackerier och satt bland annat ett år i isoleringscell. Han betonar att han hackade för att ha roligt. ”Men åklagaren övertalade domaren om att jag kunde avfyra en atombomb bara genom att viska åt mobiltelefonen. Därför måste jag isoleras från yttervärlden. Jag rekommenderar faktiskt inte min historia åt någon." Hur länge räcker det att ta kontroll över en dator? Svaret är några sekunder om man klickar på fel bilaga. Det visade Kevin Mitnick under en av sina praktiska demonstrationer med en fjärrkopplad dator i Kalifornien och en annan dator på bordet på podiet. Helsingforsdatorn var utrustad med det färskaste i antivirusväg. En PDF-fil som hade kommit som en bilaga till en e-post granskades först av virusprogrammet och befanns felfri. När Mitnick dubbbelklickade på filen syntes en kopia av datorns arbetsbord i samma sekund på fjärrdatorn i USA. “Det här är tricks som tyvärr lyckas än i denna dag. Också systemet med att låta minnespinnar ympa in skadlig kod i ett företags datorer fungerar fortsättningsvis. Lägg till exempel ifrån dig en minnepinne märkt med texten ‘avlöningslista’ så är chansen stor att någon i ett företag blir intresserad och vill se materialet.” Men i dag finns det ännu lömskare sätt där man kombinerar social engineering med modernare teknik. I ett säkerhetstest han gjort nyligen lurade Mitnick först en datorförsäljare att berätta hur många datorer företaget hade levererat till den avdelning Mitnick uppgav sig representera. Utan någon som helst kontroll av Mitnicks identitet gavs svaret: 49 stycken “Därefter ringde jag till företaget och berättade att jag som representant för tillverkaren ville ihågkomma en god kund genom att sända 49 trådlösa möss gratis.” Poängen var att den lilla USB-sticka som kopplades till datorerna innehöll lite extra elektronik, som öppnade datorerna för Mitnick. Är inte virusskyddsprogrammen då värda något? “Jo, mot kända hot”, säger Mitnick. “Men nya typer av skadlig kod kan gå igenom alla virusskannrar. Och som sagt, den egna personalens agerande är akilleshällen för de mest sofistikerade säkerhetssystem.” tSom avslutning visade han ännu hur lätt det är att till exempel kapa inloggningsuppgifterna från id-kort. Ni vet de där som exempelvis hänger runt halsen på personal som tar en tobakspaus utanför ytterdörren på jobbet. “Med den här lilla maskinen gömd i en liten portfölj är det bara att fraternisera med människorna. Är du bara tillräckligt nära en viss person kapar den koderna och du kan öppna alla dörrar de ger tillgång till.”
Bo Ingves text Tuomas Sauliala / Reaktor foto