Twitters utredning av intrånget (för några år sedan) då drygt 130 kända personers konton kapades och falska inlägg postades går vidare och nu skriver Twitter att intrånget möjliggjordes via det som kallas ”spearheaded attacks” – målinriktade attacker inriktade på vissa utvalda anställda.

Vid intrånget lyckades de skydliga komma åt interna administrationsverktyg som Twitter använder för att hantera konton. Det finns uppgifter om att vägen in till Twitter gick via en intern kanal på Slack. Obehöriga kom in i kanalen, kunde knyta kontakter och sedan stegvis lura av Twitters egna anställda inloggningsuppgifter.

Socialt hack

Detta är ett klassiskt tillvägagångssätt och generellt betydligt mer framgångsrikt och effektivt än att försöka ta sig igenom spärrar, brandväggar, inläggningar och andra skydd som finns i mjukvaran. Känner du inte till en direkt exploaterbar bugg så är den här typen av sociala hack mycket snabbare, enklare och mindre tidsödande. Du utger dig för att vara nyanställd, vädjar till en person som du vet har inloggningsuppgifter och skyller på att du tappat bort dina uppgifter och att du nu är i en knipa. Vädja till folks godtrogenhet och vilja att hjälpa till.

En av världens mest framgångsrika hackare, Kevin Mitnick, använde precis just den metoden på sin tid. Han ringde upp anställda, ljög om vem han var och bad att få information – som han påfallande ofta fick därför att vi människor i allmänhet är hjälpsamma och vi vill väl. Det är en modern, något mera digital variant vi kan ha fått se resultatet av på Twitter.

Ett exempel

Ett konkret exempel:

Företaget A anlitar ett konsultbolag, tekniker, för att hjälpa till med sin IT-drift. Konsulterna är lätta att identifiera. Deras målade bilar står utanför företag A rätt ofta. Klockan tio i tolv, en helt vanlig dag så lyfter du luren, ringer IT- och säkerhetschefen och får veta via växeln att han inte är tillgänglig. Han sitter i ett möte. Då klockan är strax före lunch så åker du till företaget, iförd samma kläder som konsultbolaget med vad som ser ut att vara en arbetsorder i handen. Du berättar för de i växeln eller någon annan anställda att du fått lite tid över, svängt förbi företaget för att se om du kan fixa ett allvarligt fel och en störning i det lokala nätverket.

I normalfallet, och om alla regler hade följts, så hade du inte kommit längre än till receptionen men nu är det lunch och det är semesterpersonal som sitter i receptionen. Du förklarar att arbetet egentligen skulle ha utförts om några veckor, efter alla semestrar men att du alltså fått tid över och att du kan tänka dig att ta en titt på problemet redan nu.

Följande vet de anställda:

Det finns ett fel i det lokala nätverket som stör trafiken och som ställer till det, ordentligt. Nu står alltså en person framför dem som säger att hen kan ordna felet men om det inte kan göra nu så kommer störningarna att fortgå i flera veckor till.

Säkerhetschefen går inte att nå och nu ska en semestervikarie besluta om att antingen släppa in personen som ser ut att ha rätt kläder, som har en arbetsorder i sin hand och som kan fixa ett irriterande fel.

Samma sits

Fundera på hur du skulle göra i samma sits. Så mycket kan jag avslöja att exemplet är ett verkligt exempel och att den falske konsulten släpptes ända in i server-rummet. Väl där ringde vederbörande säkerhetschefens privata mobil och meddelade att uppdraget var slutfört. Intrångstestet hade inte fallit väl ut och nu var säkerhetschefen skyldig honom en brakmiddag.

Hen var konsult, säkerhetskonsult med uppdrag att testa säkerheten. Redan dag 1 tog han sig in i server-rummet dit han på inga villkors vis borde ha tagit sig.

Vi människor är snälla och hjälpsamma – det utnyttjat hackarna och det kan ha varit så Twitter hackades.