Computer System for Mainframe Operations
Käesolevas ajaveebiartiklis analüüsitakse
Kevin Mitnick’i poolt väljapakutud valemit, mille komponentideks on
tehnoloogia, koolitus ja reeglid. Valemi subjektiivsusest tulenevate vigade
vältimiseks on arukas analüüsida nimetatud valemit Mitnick’i poolt ära kasutatud
infotehnoloogia turvariski. See annab parema võimaluse valemi toimimise
arusaamiseks.
Case study: COSMOS
Häkkeri karjääri alguses Kevin Mitnick
oli avatud väljakutsetele. Tema suhtlusringkonna „kuumad teemad“ väga ei
äratanud temas huvi (nt manipulatsioonid tavalise telefoni võrguga). Siinkohal
peab mainima, et Kevini karjääri alguses põhiliseks häkkeri uurimisobjektiks
oli just telefoni võrgutehnoloogia, sest see oli praktiliselt ainus kättesaadav
andmeedastustehnoloogia, mida sai endale lubada harilik USA elanik. Kuna Mitnick
oli huvitatud telefoni võrgu üle kontrolli saavutamises (kusjuures mitte
pahatahtlikkusest lähtuvalt, vaid lihtsalt tehnilisest huvist, et kas ta saab
teatud operatsiooniga hakkama või mitte), siis sai võetud sihikule COSMOS Centre. COSMOS oli telekommunikatsiooni ettevõtte sisemine arvutisüsteem, mis
monitooris telefoni võrgus olevaid toiminguid ja käske. Esimene andmekogumismeetod
oli prügikastist surfamine (dumpster
diving): põhilisteks otsinguobjektideks olid välja visatud kasutusjuhendid
ja sisemised dokumendid. Nimetatud meetod ei andnud tulemust, seega Mitnick otsustas
minna otse kontorisse. Selleks aga oli vaja ära petta turvateenistujat.
Kasutades lihtsaid manipulatsiooni meetmeid Mitnick tekitas olukorda, kus
turvateenistuja lasi Mitnick’u ja tema kaaslasi (neid oli kaks) ilma sissepääsuloa
kontrollimata. Lõpptulemus oli üllatav – Mitnick koos kaaslastega sai COSMOS’e
ruumi sisse.
Manipulatsiooni põhiidee oli COSMOS
süsteemile ligipääsu tagamine inimese kaudu. Maailmas eksisteerib termin social engineering, mis kirjeldab võimet
näidata ennast mistahes isiksusena.
Selline petuskeem tekitab teistes inimetes usalduse ning usaldus ise on kerge
manipulatsiooni objekt mistahes eesmärkide saavutamiseks. Seoses sellega saab
anda kinnituse retrospektiivsetel andmetel põhinedes, et iga infosüsteem peab
olema kaitstud isiksuse manipulatsioonide eest. Nagu ka teiste süsteemide puhul,
on infosüsteemi kõige nõrgem lüli – inimene, kelle psüühikat on palju lihtsam
mõjutada, kui kümneaastaga arendatud krüpteerimise algoritmi.
Siinkohal ei tohiks süüdistada aina üksi
turvatöötajat, kes lasi tundmatuid isikuid telefonivõrgu tehnoloogiale ligi,
kust on võimalik kontrollida suurte kommunikatsioonitehnoloogia andmeid. Ettevõtte
ise oleks võinud pöörata rohkemat tähelepanu töötajate kompetentsile erinevate
meetmete kaudu.
- Põhireeglite
kehtestamine. Peab kehtestama erinevad protseduurid, kuidas käituda näiteks
isikutega, kes tulevad väljastpoolt tööaega ja veel ilma sissepääsukaardita.
Sellisel juhul peab säilima tavalisest tugevam autentimiskontroll.
- Tehnoloogia.
Oleks mõistlik kehtestada mitmekordse autentimissüsteemi (nt läbipääsukaart,
salasõnad, paroolid, biomeetria seadmed, kontrollküsimused organisatsiooni
üldtuntud faktide kohta jne). Lisaks eelnevale võiks tugevdatud valve all hoida
kriitilise tähtsusega ruumid (!). Ehk siis on võimalik üldse topelt valve alla
panna ruumi väljastpoolt töö aega.
- Koolitus. Suurbritannia militaarlennunduses klassifitseeritakse inimest kauba liigi alla, andes temale järgmist definitsiooni: kaootiliselt liikuv ja ebaratsionaalseid otsusi vastu võetav objekt. Eelnimetatud definitsioon ütleb kõike – inimest peab koolitama ja temaga peab tegelema koguaeg, värskendades elementaarteadmisi küberturbest. Ehk siis mõistlik on lasta inimestel läbida küberhügieeni koolituse enne kontorisse sisenemist. Eriti turvatöötajad peavad tundma tavakasutajast palju põhjalikumalt infoturbe reegleid.
Eeltoodud
kokku võttes on võimalik tähele panna, et tõe poolest Kevini pakutud kolme
komponendiga valem töötab. Ettevõttel võib olla tõhus andmeturve tehnoloogia, aga
kui keegi laseb suvalist inimest sellele ligi, siis kogu süsteemi efektiivsus
võrdub nulliga. Seoses sellega andmeturve algab kõigepealt töötajatest, seega
peab investeerima just töötajate kompetentsi.
Comments
Post a Comment