Undercover på Web2.0

Facebook logoDer er god grund til at passe på, hvilke personlige oplysninger man lægger ud på de sociale netværk som LinkedIn, Facebook, Plaxo, MySpace og mange andre. En dansk it-sikkerhedsekspert har brugt et halvt år på at undersøge, hvor mange følsomme oplysninger han kunne skaffe gennem en falsk identitet. Resultatet er skræmmende – han kender nu til detaljer om internationale virksomheders it-systemer, som vil gøre det nemt at iværksætte hacker-angreb.


Hen over sommeren sidste år begyndte den 30-årige Dennis Rand fra it-sikkerhedsfirmaet CSIS at infiltrere det sociale netværk LinkedIn. Målet var at undersøge, om det ville være muligt at skabe sig et så stort personligt og fagligt netværk, at det kunne udgøre en sikkerhedsrisiko for hans nye ”venner” og deres arbejdspladser. Det skulle vise sig, at Dennis med sin falske profil hurtigt blev en attraktiv kontakt, som fik henvendelser om job og adgang til kritiske data om store, internationale virksomheders it-systemer.
”Disse data er guld værd, hvis man seriøst skulle planlægge et hackerangreb mod en virksomhed. Det vil spare masser af tid, at man kender til sikkerhedspolitikken i virksomheden, og hvilke firewalls, styresystemer og kompetencer it-medarbejderne har. – Og rigtig mange af de oplysninger har jeg fået adgang til,” fortæller Dennis Rand.

Opbygningen af en falsk identitet
Først og fremmest opfandt Dennis et falsk navn og en levnedsbeskrivelse, som skulle virke attraktiv og topprofessionel. Eftersom Dennis arbejder som malware/security researcher i it-sikkerhedsfirmaet CSIS, var det ikke vanskeligt for ham at forfatte en profil, som så spændende ud. Dernæst valgte han en stor, international it-koncern som sin arbejdsplads.
”I den forbindelse var det vigtigt at vælge en stor og anerkendt virksomhed – både for at skabe noget respekt og for at kunne skjule sig i mængden af medarbejdere,” fortæller han.
Næste skridt var at skabe selve netværket. Ved at søge på den virksomhed, som han udgav sig for at arbejde i, kunne Dennis finde lange lister over medarbejdere og dermed opfordre dem til at acceptere et venskab. Og dét gjorde overraskende mange. I første omgang var det lidt vanskeligt, fordi Dennis kun havde få forbindelser på LinkedIn, men efterhånden som tælleren viste 50, 100 og 500, begyndte det at gå stærkt.

Gik efter folk med status og ansvar
”Mange er på de her netværk for at kunne fremvise en stor og betydningsfuld omgangskreds. Hvis jeg kun har tre venner, er jeg ikke særlig betydningsfuld, men hvis jeg har 500 venner og kommer fra en stor virksomhed, så begynder jeg at være noget i min branche. Derfor vendte billedet pludselig, og jeg skulle ikke længere bede om opmærksomhed, folk begyndte simpelthen at henvende sig til min falske profil,” fortæller Dennis Rand.
Det tog ikke lang tid, før Dennis havde over 2.000 kontakter – mange af dem i brancher, som kunne være interessante for hackere: it-, finans- og militærbranchen og ikke mindst offentlige organisationer. Han var bevidst gået efter folk, som enten havde ansvar for it-sikkerhed eller sad med et ledelsesmæssigt ansvar. Faktisk blev det en sport at blive venner med de mest højprofilerede chefer, og efterhånden som det lykkedes, gav det endnu mere status og respekt.
”Det var en stor overraskelse, at så mange uden videre lægger vigtige data om sig selv og deres virksomhed ud. Mange af de informationer er nogen, som de fleste virksomheder har en sikkerhedspolitik omkring, men det glemmer folk på de sociale netværk,” siger Dennis Rand.

Næsten alle blev snydt
For at få kontakt med de vigtigste personer benyttede Dennis Rand blandt andet Google til at søge efter ofrenes færden i den seneste tid. Hvis en person lige havde været på en it-konference, så kunne Dennis finde på at skrive en invitation på LinkedIn i stil med: ”Hej, vi mødtes på konferencen i sidste uge, skal vi connecte?”
Til Dennis’ overraskelse var det kun meget få, som nægtede at acceptere en invitation. Helt præcist sagde 97 procent af dem, han skrev til, at de kendte ham og accepterede hans invitation. Og sikkerhedsbristen bestod i, at når Dennis Rand blev ven med nogen fra LinkedIn, så kunne han se deres personlige data, foto og i mange tilfælde nogle meget detaljerede CV’er og beskrivelser af vedkommendes arbejde.

Guld værd for hackere
Disse data kan benyttes i flere kriminelle sammenhænge. Email-adresserne kan eksporteres til et regneark og sælges til spammere. Dennis Rand nævner, at e-mail-adresser fra LinkedIn i spammeres øjne har en høj kvalitet, fordi de er aktive, og ejermændene er forretningsfolk.
En anden mulighed er at målrette virus via email til sine kontaktpersoner fra LinkedIn. Det er nemt at få folk til at klikke på en vedhæftet fil, når e-mailen kommer fra en betroet ven fra ens netværk. Med Dennis Rands omfattende mængder af indsamlede data vil det være enkelt for ham at rette et virusangreb mod eksempelvis beslutningstagere i en udvalgt branche – og frasortere de måske mere skeptiske it-folk i organisationen.
Men det mest farlige, som Dennis’ data kan benyttes til, er hurtige hackerangreb. Når en hacker ved, hvilke it-systemer en virksomhed har, og hvilke forsvarssystemer den bruger, så kan angrebet målrettes meget præcist. – Og det er netop hackernes ønske: at komme hurtigt ind i et system og hurtigt ud igen, inden angrebet bliver opdaget. Dennis’ regneark vil således være guld værd for seriøse hackere.
”De mest kritiske data, jeg fik fat i, var helt konkrete oplysninger om en stor virksomheds sikkerhedssystemer, stort set alt var lagt frem af en it-medarbejder.”

Mange muligheder for svindel
For at holde sig inden for lovens og anstændighedens grænser havde Dennis Rand selv sat nogle rammer for, hvor langt han ville gå. Det hele skulle ske inden for lovenes rammer, og det var vigtigt at ingen blev hængt ud, som nogle der sløser med sikkerheden. Dennis Rand understreger, at han ikke på noget tidspunkt har indsamlet data, som ikke har været offentligt tilgængelige. Derfor har han også undgået at tage imod invitationer til personlige samtaler og jobtilbud.
Det ville ellers være nemt for ham at kontakte nogle af de systemansvarlige i de store virksomheder via venskabet på LinkedIn og starte en kollegial og detaljeret diskussion om, hvordan de håndterer it-sikkerheden, og dermed få fat i endnu flere oplysninger.
”Man kunne også vælge at sige ja tak til de virksomheder, som inviterede mig til jobsamtaler. På den måde ville man kunne få langt større indsigt i virksomhedens systemer. – Eller man kunne sige ja tak til en flybillet til jobsamtalen og bare holde ferie uden at dukke op til samtalen,” griner Dennis Rand.
Bag Dennis Rands undersøgelse ligger dog en mere alvorlig dagsorden, nemlig afsløringen af de hidtil usete sikkerhedshuller i de sociale netværk. De største sikkerhedsbrister, han fandt, var:

• Hackere kan målrette angreb ud fra oplysninger om it-folkenes evner og hardware.
• Konkurrenter kan nemt finde ud af, hvad de ansatte i en virksomhed har af uddannelse og kurser.
• Ansatte kan nemt tage oplysninger med fra en virksomhed via eksempelvis LinkedIn.
• Kriminelle kan hurtigt finde ud af, hvem der er betydningsfulde i bestemte brancher. Det kan være forsvaret, banker, it-sikkerhed eller andet, der ellers normalt er omgivet af et stort sikkerhedsopbud.

Problemet findes på alle netværk
”Jeg prøvede at finde oplysninger om disse sikkerhedshuller, inden jeg begyndte projektet, men der var ikke skrevet noget om det nogen steder. Dét undrede mig, og det var anledningen til, at jeg oprettede den falske identitet. Jeg havde fokus på særlige brancher i erhvervslivet, men det her kunne lige så godt være gjort på de sociale netværk, der henvender sig til private,” siger han.
Dennis nævner, at man kunne forestille sig en falsk profil, der får adgang til en masse personlige detaljer ved at udgive sig for at være en gammel klassekammerat. – Der er altid nogen i en klasse, som man ikke helt kan huske, og hvis vedkommende allerede er i netværk med nogen fra den klasse, så er det de færreste, der stiller spørgsmål.
”Det her er noget, der vil kunne udnyttes både af kriminelle og af syge personer. Det vil eksempelvis være en oplagt metode til identitetstyveri eller en måde at forfølge folk på.”

Afsløringen af den falske profil
Dennis’ falske profil er stadig aktiv på LinkedIn, og der kommer op mod ti nye invitationer til ham dagligt fra folk, der vil dele netværk og personlige oplysninger med ham. Indtil videre har ingen stillet kritiske spørgsmål eller fattet den mindste mistanke, men der venter en overraskelse. Den 23. april går Dennis Rand på scenen ved it-sikkerhedskonferencen Fraud Europe 2008 i Bruxelles. Her vil han præsentere sine kolleger, og måske også nogle af sine LinkedIn-venner, for sandheden.
”Jeg holder et oplæg og fremlægger mine opdagelser og de data, jeg har indsamlet. Til sidst afslører jeg, hvad mit brugernavn på LinkedIn har været, og hvordan en hacker vil kunne have misbrugt oplysningerne. Jeg nævner naturligvis ingen navne eller virksomheder – det ville være at gå over stregen,” siger Dennis Rand, der ikke lægger skjul på, at han glæder sig til afsløringen, men også at han vil komme med en opsang til de flittige brugere:
”Min pointe vil være at folk virkelig skal tænke sig om. Der er ikke noget galt med de sociale netværk, men med de data brugerne indtaster om sig selv og deres arbejdspladser. Derfor må man hele tiden spørge sig selv, hvad formålet med at være til stede på netværkerne er. – I stedet for bare at opbygge et imponerende stort antal kontakter.”
I øjeblikket overvejer Dennis, hvad næste projekt skal være. Det vil også komme til at handle om infiltration, men de nærmere detaljer vil han ikke komme ind på.

Faktabokse:
Hvad er sociale netværk?
Sociale netværk på Internettet er vokset eksplosivt de seneste år. De bygger ofte på, at man opretter en profilside, altså en underside på netværket, med sine egne data. Det kan være billeder, interesser og personlige data som alder, bopæl etc. Når man er oprettet, kan man findes af andre i netværket, eller man kan selv gå på jagt efter gamle venner, kolleger eller måske nye kontakter, som har de samme interesser som en selv.
De sociale netværk har typisk et bestemt formål. Facebook blev etableret som en virtuel blå bog for gamle klassekammerater, LinkedIn er til forretningsforbindelser og kolleger, og andre steder gælder det romantik eller mere specielle interesser. Nogle steder kan man kontakte andre medlemmer frit, mens andre steder kræver, at man bliver introduceret.

Hv
ad er risikoen?
De sociale netværk bygger på kommunikation og handler om at finde hinanden. Derfor opfordres man alle steder til at give forskellige, personlige oplysninger – og det er her, man skal passe på. De fleste opgiver en masse private data, som de måske slet ikke ville give til fremmede i den virkelige verden. Eksempelvis kan det være svært at få en sød piges telefonnummer på et diskotek, men pigen har måske allerede offentliggjort sit nummer på Facebook.
Internettet giver en falsk fornemmelse af, at man er anonym, og mange glemmer, at de oplysninger, man i første omgang skræddersyer og deler med sine bekendte, kan ses af alle.

Hvad kan man gøre for at beskytte sig?
Begræns dine personlige oplysninger – offentliggør ikke information, der kan gøre dig sårbar. Det kan være adresse, kalender eller information om din computer eller computernetværk. Hvis dine kontakter har skrevet personlige oplysninger om dig, så sørg for, at disse oplysninger tilsammen ikke indeholder flere data om dig, end du bryder dig om, at fremmede skal kende.

Husk, at alt er offentligt – skriv ikke noget om dig selv, som du ikke ville dele i den virkelige verden med en hvilken som helst fremmed. – Og husk, at når du har lagt noget på nettet, så kan det aldrig slettes helt igen. Der kan være kopier af dine informationer på andre sites eller måske på andres computere.

Sæt dig ind i sikkerhedsindstillingerne – alle sociale netværk tilbyder forskellige grader af sikkerhedsindstillinger, og det er op til dig at bruge dem! Facebook har nok de mest omfattende sikkerhedsindstillinger, men de kræver, at man lige bruger lidt tid på at sætte sig ind i dem.

Vær skeptisk over for fremmede – tro ikke på alt, du hører og ser, heller ikke hvis vedkommende har fælles kontakter med dig. Brug din fornuft, og tjek vedkommende ud en ekstra gang.