Kyberrikollisuuden hyödylliset hölmöt löytyvät sinunkin organisaatiostasi
Tämän päivän James Bondit istuvat toimistoissa
Aikoinaan SANS:n ”murtomieskurssilla” etsimme kohteesta palveluita, jotka keskustelevat ulkomaailman kanssa, esimerkiksi jokin www-palvelu. Kun löysimme sellaisen, yritimme kaivaa esiin tunnettuja tai tuntemattomia haavoittuvuuksia ja tunkeutua sitä kautta järjestelmään. Metodi on edelleen validi, mutta tuntemattomien haavoittuvuuksien löytämisen näkökulmasta varsin työläs.
Kyberhyökkäykset ovat kuin vesi – ne menevät sieltä mistä helpoiten pääsevät
Sähköpostin vakiintuessa bisneskriittiseksi työkaluksi, vakiinnutti kalastelu paikkansa ensisijaisena tapana tunkeutua yritysten järjestelmiin. Enää ei tarvinnut etsiä haavoittuvuuksia energiasyöpöissä fuzzing-klustereissa, vaan tunkeutuja pääsi suoraan asiaan yksinkertaisesti kirjatumalla kohdejärjestelmään varastetuilla tunnuksilla. Luonnollisesti yhdistelemällä taidokkaasti haavoittuvuuksia ja kalastelua päästään siihen, mihin lehdistössä usein viitataan termillä Advanced Persistant Threat (ATP). Tunnusomaista tälle kategorialle on, että tunkeutuja majailee kohdeympäristössä jopa vuosia ilman kiinnijäämistä. Tunnusten kalastelu on pitänyt sitkeästi pintansa ensisijaisena tapana tunkeutua minne vaan, johtuen sen tekemisen helppoudesta, monistettavuudesta ja tehokuudesta.
Palataanpa siihen, että kyberhyökkäykset ovat kuin vesi ja ne menevät sieltä mistä helpoiten pääsevät. Hypätään hetkeksi tyypilliseen hektisen arjen tilanteeseen.
Työntekijä saa sähköpostin työkaverilta koskien tulevaa projektipalaveria saatesanoilla ”tässä liitteenä alustava aikataulutus, lisää omat jutut”. Palaveri alkaa 30 minuutin kuluttua ja työntekijällä ei ole työasemassaan ohjelmistoa, jolla sähköpostin liitetiedostoa voisi pyynnön mukaisesti muokata. Soitto IT-tukeen ja 15 minuutin kuluttua hän on edelleen jonossa. Aika käy vähiin ja tilanne alkaa muuttua tukalaksi. Kokouksessa ei tietenkään voi näyttää täydeltä tunarilta, ovathan yt-neuvottelutkin ovella… Mitä seuraavaksi? Työntekijä avaa Googlen ja kirjoittaa hakuun kysymyksen, millä tiedostoa voisi muokata netissä ilmaiseksi. Selain täyttyy ehdotuksista ja näin projekti, palaveri ja työpaikkakin on pelastettu.
Ennen piti murtautua, sitten riitti kirjautuminen, jatkossa pitää vain odottaa
Jos ennen piti murtautua ympäristöön ja myöhemmin riitti kirjautuminen varastetuilla tunnuksilla, niin nyt riittää vain odottaminen. Kyberrikolliset odottavat, että organisaatioiden edustajat vapaaehtoisesti luovuttavat kriittistä tietoa tuntemattomille tahoille. Tietoa voidaan käyttää perinteiseen tunkeutumiseen, kiristämiseen tai se voidaan myydä eniten tarjoavalle. Jos ei muuta, julkaistaan varastetut tiedot internetissä kiusantekona ja tarjoillaan yritysjohdolle ikimuistoisia elämyksiä toimittajien edessä.
Kuka muistaa Applen loistavan mainoslauseen:
”There’s an App for that”?
Ilmaiseen internetin työkaluun ladatun tiedoston jatkokäytön eettisyydestä ei ole mitään takeita. Tämän kaltaisia ongelmia tulee meille vastaan päivittäin kun modernisoimme asiakkaidemme ympäristöjen puolustusta. Jos yrityksessä on investoitu tuotteeseen A ja sitä on hartaasti koulutettu työntekijöille, niin miksi kasvavaa käyttöä havaitaan vastaavissa tuotteissa B ja C? Jos jokaisessa työasemassa on pdf-konvertointityökalu, niin miksi työntekijät käyttävät internetissä olevaa ilmasta online-ohjelmistoa tiedostojen konvertointiin? Nämä asiat tulevat poikkeuksetta yllätyksenä yritysjohdolle, kun ympäristöä valjastetaan toimimaan kokonaisuutena. Puolustuksen organisointi ilman kattavaa näkyvyyttä ympäristön tapahtumiin on mahdoton tehtävä.
Tags: