a) Viikolla 16 Tero Karvisen tunkeutumistestauskurssilla vieraili Riku Juurikko kertomassa sosiaalisesta vaikuttamisesta tietomurron välineenä.
Juurikko esitteli tehokkaiksi osoitettuja sosiaalisen vaikuttamisen teorioita sekä menetelmiä, joista yksi on kohteen päätöksentekoprosessien ohittaminen hyödyntämällä yleisiä sosiaalisia periaatteita sekä normeja. Tätä yleisesti kutsutaan myös manipuloinniksi.
Henkilökohteen manipulointi tarkoittaa vaikuttamista kohteen motiiveihin ja niistä seuraaviin päätöksiin ja tekoihin. Tehokkaimmat vaikuttamiskeinot jäävät kokonaan kohteelta huomaamatta. Nämä keinot vetoavat henkilön sosiaaliseen käyttäytymiseen sekä omiin moraaleihin, kuten vastavuoroisuuteen; “Minulle avattiin ovi, minä vuorostani avaan hänelle oven.” Parhaimmillaan vastavuoroisuuden hyödyntäminen varomattomaan henkilöön voi ohittaa kaikki tunkeutumiskohteen pääsyesteet sekä turvaluokitukset.
Henkilöön vaikuttaminen on tehokkainta, kun henkilö lukee sinut kaltaisekseen tai jopa auktoriteetiksi. Epäsuoria vaikutusmenetelmiä ovat samanlainen pukeutuminen, tyyli ja tavat. Myös oikean nimen mainitseminen tai kiirellisyyden painottaminen voi ohittaa monia päätöksentekoprosesseja kohteessa. Tunkeutujalla on monia sosiaalisia välineitä käsissään toteuttaessaan tietomurtoa kohteeseen, jossa henkilöstö on heikoin lenkki.
b) Hacktheboxin yhdistämisessä tuli vaikeuksia. Nmap ei onnistunut. Katson tätä vielä toisella kerralla.



Lisäyksiä 18.5.
b) Hacktheboxin koneen skannaus
Porttiskannasin onnistuneesti Hacktheboxin koneen 10.10.10.181
nmap -A -oA ./-T4 10.10.10.181

Skannaus löysi koneesta SSH- ja Apache-palvelimen. Etsin lisätietoa Nikto-ohjelmalla
nikto -h 10.10.10.181

Näin tuloksista, että ainakin Apache-palvelin oli vanhentunut. Suurempia tietoturva-aukkoja on X-Frame-Options header puuttuminen, joka ohjaa web-selainta hyökkäyksen alla. Myös X-XSS-Protection Manager ja X-Content-Type-Options-headerit puuttuvat. Nämä jättävät selaimen haavoittuvaiseksi.
Lähteet:
http://terokarvinen.com/2020/tunkeutumistestaus-kurssi-pentest-course-ict4tn027-3003/
http://terokarvinen.com/2020/social-engineering-with-riku/
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-XSS-Protection