Klumme: Facebook, MySpace - en hackers kilde til information

Personlige netværksservices har en skjult bagside, der bør overvejes i forbindelse med it-sikkerhed. Profilering er en grundregel i efterretning, og her kan Facebook og MySpace afsløre yderst interessant information, som kan udnyttes, skriver Tonny Bjørn i denne klumme.

For en hackers synspunkt er de personlige netværksservices et overflødighedshorn af information. I jagten på "15 minutes of fame" publicerer folk helt ukritisk alle typer information online, der kan bruges til profilering af en person.

Da vi mennesker er slave af vores vaner, så afspejler den publicerede information, på eksempelvis Facebook og MySpace, også gerne de tankebaner vi bruger i andre henseende - herunder på vores job. Når der eksempelvis skal vælges passwords, man skal huske, opstår linket til den publicerede information - og det kan være vejen frem for et angreb.

Væbnet med grundinformation om et muligt mål, kan en hacker begynde at udvide sine kriterier. Næste skridt er en aktiv indsamling af information - dog stadig kamufleret - så målet ikke bliver mistænksomt. Her kommer Social Engineering ind i billedet.

Social Engineering

Det er den menneskelige faktor, og vores til tider forudsigelige adfærdsmønster, der fokuseres på ved Social Engineering. Ved at profilere en person, kan man eksempelvis finde ud af om denne reagerer på autoritær, eftergivende eller appellerende fremtoning.

Ved at udnytte sine kundskaber og metoder kan en hacker indhente oplysninger, der ellers ikke er direkte tilgængelige. Det essentielle er at indhente og sammenstykke brudstykker af oplysninger til brugbar information, som så efterfølgende bruges til at indhente yderligere oplysninger. Dette kan foregå over dage, uger eller sågar måneder.

Denne type informationsindsamling kan gøres på alle tænkelige måder: Telefonisk, sms, e-mail, breve, aflytning, hjemmesider, receptionisten eller ved et personligt fremmøde. Jo mere information man har at arbejde med, des mere overbevisende kan man være for at få den næste stump information.

Hackeren Kevin Mitnick var en mester i denne disciplin. I sin bog, The Art of Deception, afslutter han sit forord på følgende måde: "Den menneskelige faktor er uden tvivl sikkerhedens svageste led". Når folk så lægger en stor del af den ønskede information ud på deres Facebook profiler, så gør det bestemt hackerens researcharbejde nemmere.

Gammel vin på nye flasker

Informationsindsamling er langt fra en nyhed. Det har været udnyttet og brugt i århundreder. I det 6. århundrede før vores tidsregning skrev den kinesiske general Sun Tzu den først kendte bog om militære strategier. En af hans mest berømte beskrivelser findes kapitlet "Angreb baseret på strategi":

Hvis du kender din fjende, og du kender dig selv, da behøver du ikke frygte udfaldet af hundrede slag. Hvis du kender dig selv, men ikke din fjende, vil du lide et nederlag, for hver sejr du opnår. Kender du hverken dig selv eller din fjende, da vil du tabe hver gang.

Her 2500 år senere er dette stadig gældende - også indenfor IT-sikkerhed. Efterretning og informationsindsamling er stadig den benyttede vej forud for et angreb.

Det sker da ikke i virkeligheden!

Jo faktisk - og hvad værre er: der er tunge beviser for, at vi mennesker stadig ikke har taget ved lære efter flere år med ørene tudet fulde af formaninger om løsagtig omgang med passwords.

En sikkerhedskonsulent har bevist, at nettets mange onlinetjenester kan bruges til at indhente brugbar information til det formål at hacke. Det var skræmmende let.

Fremgangsmåden var "baglæns", i forhold til det en hacker ville gøre. På et onlineforum fik han fat i en nyoprettet brugers konto og password. Han kendte ikke personen, som naturligvis benyttede et alias. Ud fra det benyttede password kunne han med lethed finde frem til den fodboldklub brugeren var fan af. Det var hans password.

Baseret på denne viden foretog hans en søgning med Google og fandt hurtigt frem til et fan-website for den pågældende fodboldklub. Ved simple midler fandt han frem til ejeren af domænet, som viste sig at være den selv samme person, der havde oprettet sig på forumet. Forskellen var nu, at i stedet for et alias, havde han alle de ægte kontaktdata. Med den information kunne han finde frem til, hvor brugeren arbejdede. Et par opringninger senere var brugerens firma e-mail, direkte telefonnummer, stilling (og hvad ellers kunne være interessant) fundet.

Med viden om at brugeren har til vane at bruge passwords relateret til fodbold - og specielt én klub - er der med ét åbnet op for langt større muligheder for at komme videre.

Brug fornuften

Pointen med denne artikel er at sætte tankerne i gang - ikke at skræmme. For med almindelig omtanke kan man stadig bruge sin Facebook til hygge med onlinevennerne. Men hav i mente, at tusindvis af andre kan følge med - også personer du ikke kender!

De fleste er slaver af vaner i en eller anden grad, og derfor afspejler de frit tilgængelige informationer vores interesseområder og tankegange. Dermed også de baner der tænkes i, når en simpel ting som et password skal oprettes.

Lad være med at give detaljer om dit privatliv, når du er online. Lad være med at bruge logiske afledninger, af det som interesserer dig til dine passwords.

Med en smule fornuft og omtanke kommer man langt.

Tonny Bjørn er sikkerhedsekspert hos Virus112




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Hewlett-Packard ApS
Udvikling og salg af software, hardware, konsulentydelser, outsourcing samt service og support.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere