Ups: Seks ud af ti i Homeland Security faldt i falsk hacker-fælde

Illustration: Virrage Images/Bigstock
En USB-nøgle på parkeringspladsen var for fristende for flertallet af de ansatte i USA’s Homeland Security. Menneskelige fejl er generelt hackernes bedste våben.

Tricket er ikke nyt, men det var godt nok til at få de fleste ansatte hos den amerikanske myndighed Homeland Security til at hoppe i fælden med samlede ben.

En USB-nøgle, som ligger og flyder på parkeringspladsen, pirrer nysgerrigheden, og derfor er det nemt at glemme alle sikkerhedsreglerne og smække den i computeren.

Da Homeland Security selv afprøvede, hvor nemt det var som hacker at trænge igennem forsvarsværkerne, gav USB-nøgle-tricket pote seks ud af ti gange. Og var det en USB-nøgle eller cd med et officielt logo, var det ni ud af ti, som skulle se, hvad der lå af data på den. Det skriver nyhedsbureauet Bloomberg.

»Der er intet apparat, som menneskeheden kender til, som kan forhindre folk i at være idioter,« lyder det fra Mark Rasch, leder af sikkerhedsafdelingen hos amerikanske CSC, som kommentar til resultatet.

Når hackere skal bane sig vej igennem et firmas perimeter-sikkerhed, sker det i høj grad ved at udnytte menneskelige svagheder. De fleste af de kendte hackerangreb på store amerikanske firmaer er sket gennem såkaldt spear phishing, hvor en phishing-email er målrettet nogle få eller en enkelt person.

Hackerindbruddet i marts hos RSA, som står bag SecurID-produkterne, skete således ved, at to mindre grupper af medarbejdere fik tilsendt et Excel-regneark med titlen ’2011 Recruitment Plan’. Firmaet var nemlig i gang med at ansætte nye folk, og den vedhæftede fil virkede derfor legitim.

Spamfilteret hos RSA fik dog sorteret e-mailen fra, men en af modtagerne så filen i sin spam-mappe, hentede den frem og åbnede Excel-filen, som var inficeret med skadelig kode. Via et dengang endnu ikke offentliggjort hul i Adobe Flash kunne hackerne så få fuld kontrol over denne medarbejders computer og så arbejde sig videre.

Et andet begreb, whale phishing, dækker over at narre direktøren i et firma eller andre højtstående medarbejdere til at klikke på et link eller åbne en fil. Som regel vil en direktør have adgang til alt fortroligt materiale, og ofte føler de sig mere usårlige over for hackere end de menige medarbejdere, fortæller Mark Rasch.

At være direktør for et it-sikkerhedsfirma er således ikke nogen garanti for, at man følger alle regler og gode råd om it-sikkerhed. Da firmaet HBGary blev hacket af Anonymous-gruppen, brugte direktøren Aaron Barr således samme password overalt, hvilket gjorde det nemt at fortsætte angrebet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Esben Rasmussen

I den originale artikel står der følgende: "Of those who picked them up, 60 percent plugged the devices into office computers, curious to see what they contained. If the drive or CD case had an official logo, 90 percent were installed. "

Dette synes jeg, er en ret essentiel viden at få med.

I den danske formulering "[...] gav USB-nøgle-tricket pote seks ud af ti gange. Og var det en USB-nøgle eller cd med et officielt logo, var det ni ud af ti, som skulle se, hvad der lå af data på den." står der intet om, hvordan man har udregnet procentdelen.

Min umiddelbare reaktion var en undren, hvor jeg tænkte; "Hvordan er de kommet frem til det tal?" For hvad så med de personer, som har set nøglen og ladet den ligge (indgår de i statistikken), eller de personer, som har samlet den op, og taget den med hjem (er de så blevet overvåget).

Kun ved at læse originalen, finder man ud af, at folk der har ladet lokkeduen ligge ikke tæller med i statistikken (hvilket de for nogles vedkommende måske burde, såfremt det var en bevidst handling) og at folk der samler lokkeduen op og tester på hjemmepc'en, tæller med som "ansvarlige folk der ikke blev snydt".

  • 4
  • 0
Log ind eller Opret konto for at kommentere