Mitä olkapää surffailu on?

Tietoturvassa on monia riskejä ja niitä voi esiintyä monessa muodossa. Olkapääsurffaus on sosiaalisen suunnittelun muoto. Se viittaa hyökkäysluokkaan, jossa hyökkääjä saa tietoa katsomalla uhrin laitetta. Tähän on historiallisesti kuulunut fyysinen katsominen olkapäänsä yli, mutta se sisältää myös piilokameroita ja muita vastaavia tekniikoita.

Klassinen esimerkki olkapääsurffauksesta on, kun hyökkääjä katsoo uhrin olkapään yli näppäilessään maksukortin PIN-koodia. Tietoisuus tämäntyyppisistä hyökkäyksistä on johtanut muutoksiin käyttäytymisessä, mukaan lukien käden aktiivinen peittäminen ja PIN-koodin kirjoittaminen toisella kädellä. Joissakin maksupäätteissä on myös sisäänrakennettu suojakuori PIN-koodin päällä. Jotkut pankkiautomaatit myös muistuttavat käyttäjiä tarkistamaan olkapäänsä yli. Niissä voi myös olla pieni peili, jonka avulla voit tarkistaa olkapääsi yli.

Huomautus: Pankkiautomaatin peili on usein pieni ja hieman sumuinen. Tämä on tahallista. Se on tarpeeksi hyvä, jotta voit tarkistaa olkapääsi yli. Se ei myöskään ole tarpeeksi hyvä, jotta hyvässä asemassa oleva hyökkääjä näkee PIN-koodisi.

Nämä vastatoimenpiteet ovat johtaneet kehittyneempiin tekniikoihin todellisessa maailmassa. Monet rikolliset yritykset ovat käyttäneet piilokameroita vakoilemaan PIN-koodia. Jotkut ovat asettaneet itsensä kauemmaksi ja käyttäneet kiikareita tai kaukoputkea nähdäkseen PIN-koodin turvalliselta etäisyydeltä. Lämpökameroita on käytetty myös PIN-koodin tunnistamiseen painikkeisiin kosketettaessa jääneen lämmön vuoksi. Joissakin tapauksissa kuorintalaitteet on sijoitettu laitteen etuosan päälle peittäen oikeat painikkeet. Vaikka tämä viimeinen tapaus johtaa edelleen PIN-koodien ja korttitietojen varastukseen, niitä ei lasketa tiukasti olkapäässä surffaukseksi, koska varsinaista tarkkailua ei tarvittu.

Muut tilanteet

Tietysti olkapäässä surffaus voi olla riski myös muissa skenaarioissa. Kaikki järjestelmät, joilla on lyhyt salaisuus – erityisesti numeroidulla PIN-koodilla – ovat avoinna tälle riskille. Hyökkääjä voi katsella turvaoveen syötettyä koodia, nähdä juomalippujen asennot kassakaapin avatessaan tai tarkkailla salasanan syöttämistä.

Huomautus: Kun yhtä PIN-koodia käytetään näppäimistössä pitkään, painikkeet voivat kulua tai likaantua pelkästään käytön seurauksena. Tämä on samanlainen - jos äärimmäisempi muunnelma - lämpökuvauskonsepti. Se koskee tyypillisesti vain turvaovia, koska niissä on yleensä yksi PIN-koodi, jonka kaikki valtuutetut tietävät, jota ei usein vaihdeta.

Skenaario, jossa hyökkääjä havaitsee salasanan syöttämisen, on erityisen mielenkiintoinen tietoturvan alalla. Vaikka et ehkä halua mielellään kertoa ihmisille salasanaa, on olemassa muita tapoja saada se. Tietojenkalastelu on suhteellisen tunnettu ja usein aliarvioitu riski. Hartiasurffaus on myös toinen riski. Tämä riski koskee erityisesti julkisia paikkoja, joissa et voi hallita ympärilläsi olevia ihmisiä. Koti- tai työympäristössä on enemmän odotuksia luotettavuudesta, niin väärässä paikassa kuin se onkin.

Hyökkääjä voi esimerkiksi nähdä salasanasi olkapäälläsi, jos olet kahvilassa ja kirjaudut sisään puhelimeesi. Hyökkääjä voi myös tehdä saman, jos käytät kannettavaa tietokonetta. Se on helpompaa, koska näppäimet ovat näkyvämpiä ja helpompia erottaa, jos kirjoitat salasanasi nopeasti.

Muu sisältö

Usein olkapääsurffaajien suurin kohde on jotain pientä ja arvokasta. PIN-koodit ja salasanat ovat ihanteellisia tähän, koska ne ovat lyhyitä, suhteellisen helppoja tunnistaa ja muistaa ja tarjoavat esimerkiksi lisäpääsyn varoihin tai tiliin tai laitteeseen. Muissa tapauksissa hyökkäys voi olla puhtaasti opportunistinen tai seurausta tietyistä kohteista, kuten vakoilusta.

Opportunistinen hyökkäys on yleensä jonkin herkän, mutta ei hyökkääjälle hyödyllisen havainnointi. Esimerkiksi jotkut liikemiehet työskentelevät joukkoliikenteessä. He voivat käsitellä arkaluontoisia asiakirjoja, jotka sisältävät taloudellisia ennusteita tai mitä tahansa muuta arkaluonteista, sisäistä ja ei-julkista tietoa. Joku lähellä istuva saattaa nähdä näyttönsä ja kerätä tietoja.

Tässä tapauksessa hyökkääjä ei välttämättä ole edes todellinen hyökkääjä. He voivat olla uteliaita, mutta heillä ei ole aikomusta tehdä mitään oppimansa kanssa. Näin ei kuitenkaan aina ole, eikä sitä voi mitenkään kertoa, joten arkaluonteisten tietojen käsittelyssä julkisilla paikoilla tulee olla varovainen. Tämä käsite koskee myös arkaluontoista henkilökohtaista sisältöä, erityisesti valokuvaa tai videota. Jälleen joku muu voi katsoa näyttöäsi. Vaikka he eivät jaa sitä enempää, se voi silti olla ei-toivottu tunkeutuminen.

Vakoilussa ja sosiaalisen manipuloinnin yhteydessä hyökkääjä voi tarkoituksella kohdistaa kohteen uhriin tai paikkaan nähdäkseen arkaluonteisia tietoja näytöllä. Tämä ei välttämättä tarjoa hyökkääjälle suoraa pääsyä salasanan tapaan. Kuten edellisessä esimerkissä, myös muut arkaluontoiset tiedot voivat olla arvokkaita hyökkääjälle.

Johtopäätös

Olkapääsurffaus on sosiaalisen suunnittelun hyökkäys. Siinä hyökkääjä kerää tietoja katsomalla uhrin toimia tai näyttöä. Selailu kattaa ensisijaisesti yritykset tunnistaa salasanoja tai PIN-koodeja. Se kattaa myös yritykset nähdä yksityisiä tietoja näytöillä, kuten yritys- tai valtionsalaisuuksia tai vaarantavia tietoja. Olkapäässä surffailu on pohjimmiltaan visuaalinen vastine salakuuntelulle tai keskustelujen kuuntelemiselle, joita sinun ei olisi pitänyt kuulla.