Salasanat näppäimistön alle vai päälle?

Salasanat voi kirjoittaa paperille vaikkapa muistin helpottamiseksi. Mieti kuitenkin, mihin paperin sijoitat. Perinteinen piilopaikka näppäimistön alla ei ole se huonoin paikka.

Kävin turkulaisessa lastentarvikeliikkeessä ostoksilla. Vuoroa odotellessani huomasin, että toisen kassapäätteen näytön alareunaan oli kirjoitettu käyttäjätunnus ja salasana. Tunnusten perusteella ne arvattavasti toimivat liikkeen verkkokaupassa.

Tunnukset olivat sen verran helpot, että muistan ne monta päivää jälkikäteen. Toimintaympäristö huomioiden ei varmaan tule yllätyksenä, että salasana perustui suosittuun lastentarvikebrändiin. Tietysti! Miksi ei perustuisi. Sehän on loogista ja helppoa. Todennäköisesti salasanaa ei kuitenkaan kukaan arvaa. Helppo muistaa, mutta vaikea arvata. Kaikesta huolimatta kyseessä on siis hyvä salasana?

Salasana ja tunnus paljastuvat asiakkaille myyntipöydän mallista johtuen. Päätteet on sijoitettu pitkän L-kirjaimen mallisen pöydän molemmille reunoille. Vaikka pöytä aiheuttaakin (minimaalisen) riskin tunnusten väärinkäytölle, niin myyntihenkilöstön turvallisuuden näkökulmasta pöytä on hyvä. Uhkaavasti käyttäytyvä asiakas ei pääse helposti myyjään käsiksi. Lisäksi myyjän on mahdollista paeta tilannetta useaan eri suuntaan.

Salasanat näppäimistön alle vai päälle? Mieluummin alle.

Lue myös 1) miksi kuvaamista kannattaa välttää työpaikalla, 2) miksi kannattaa pitää oma työpöytä puhtaana.

Pokemon Go on melkoinen tietoturvashow

Ihmisen on sanottu olevan tietoturvan heikoin lenkki. Supersuosioon noussut Pokemon Go mobiilipeli näyttäisi taas tukevan tätä väitettä.

Peli ei ole ollut saatavilla kaikialla maailmassa, joten ihmiset ovat ladanneet sen epävirallisista lähteistä. Epäviralliset sovellusversiot ovat tietysti olleet hieman viritettyjä. Niistä löytyy haittaohjelmia, jotka ottavat haltuun koko mobiililaitteen. Hieman yllättäen myös virallisessa versiossa oli ollut tietoturvaongelmia. Pelifirmalla oli teoriassa pääsy pelaajan Googlen-tilin sisältöön. Siis sähköposteihin jne.

Pelin suosio on aiheuttanut myös muita haittailmiöitä. On tapahtunut onnettomuuksia ja ihmisiä on tullut ryöstetyksi. Jotkut paikat ovat jopa kieltäneet pelin pelaamisen alueillaan.

Jotta tämäkin blogipostaus ei päätyisi negatiivisuutta viljeleväksi valitusviestiksi, on todettava, että peli tekee myös paljon hyvää. Se näyttää, miten uutta teknologiaa voidaan soveltaa hienolla tavalla. Peli saa ihmiset kommunikoimaan livenä toistensa kanssa. Ihmiset saadaan myös ulos nauttimaan kauniista kesäpäivästä* sen sijaan, että he vain bloggaisivat henkilökohtaisissa datakeskuksissaan.

Tietoturvallisuuden osalta peli muistuttaa, että uhat on todellisia, mutta niiltä voi välttyä hyvin yksinkertaisilla ja helpoilla toimenpiteillä. Asenne ratkaisee paljon, tässäkin asiassa.

Lisätietoja Pokemon Go -pelin tietoturvariskeistä ja muita lähteitä:

* 15.7.2016, Varsinais-Suomi, +15C, kohtalaisen kovaa sadetta.

Salasitko myös poistetut tiedostot?

USB-tikun tai levyosion salaaminen ei välttämättä salaa aikaisemmin poistettuja tiedostoja. Osiolta on siis mahdollista palauttaa jo poistetut tiedostot. Asiasta kysyttiin alunperin Truecrypt-ohjeen kommenttiosiossa. Laittakaa vastaavia haastavia ja mielenkiintoisia kysymyksiä tulemaan!

Kun poistat tiedoston esim. USB-tikulta, niin tiedosto ei oikeasti poistu. Käyttöjärjestelmä ei vain enää näe tiedostoa. Tiedosto on kuitenkin olemassa edelleen. Lue aiheesta lisää: Tiedostojen turvallinen poistaminen.

Salausta tehdessä pitää tietää, salataanko tiedostojen lisäksi myös vapaa tila. Jo poistetut tiedostot sijaitsevat käyttöjärjestelmän näkökulmasta tuossa vapaassa tilassa. Jos vapaata tilaa ei salata, tiedostot on palautettavissa.

Testasin tätä käytännössä. Tallensin 6 tiedostoa osiolle. Poistin niistä sen jälkeen 3 ensimmäistä.

Testdisk poistetut tiedostot

Yllä olevasta kuvasta huomaa, että käyttämäni TestDisk-työkalu näkee edelleen poistetut tiedostot. Ne on merkitty kuvassa (heikosti luettavalla) punaisella tekstillä. Seuraavaksi salasin osion Truecryptillä. Käytin salauksen yhteydessä osion pikaformatointia, joka ei salaa vapaata tilaa.

photorec tiedostojen palauttaminen

Salauksen jälkeen ajoin Photorec-työkalun. Photorec löysi ja palautti salatulta osiolta jopa 7 tiedostoa (kuva yllä). Ne olivat tässä sekä aikaisemmassa testissä poistamani tiedostot.

Jotta poistettujen tiedostojen palauttaminen salatulta muistitikulta tai osiolta ei olisi mahdollista, pitää myös vapaa tila salakirjoittaa. Toinen vaihtoehto on ylikirjoittaa tila ennen salausta esimerkiksi DBAN-ohjelmalla. Jotkut salausohjelmat voivat myös ylikirjoittaa tyhjän tilan salauksen yhteydessä.

Linkkejä aiheeseen liittyville ulkopuolisille sivuille:

Välimieshyökkäys vaaransi koevastaukset

Ylioppilaskokeiden vastauksia löytyi parkkipaikalta 31.3.2015 uutisoi Yle. Epäilysten mukaan ”joku” oli vienyt paketin postiautosta, mutta hylännyt dokumentit myöhemmin parkkipaikalle. Ohikulkija otti paperit talteen ja palautti ne koulun rehtorille. Tarkistuskierroksen jälkeen todettiin, että yhtään paperia ei ollut kadonnut.

Tapahtuma sopii hyvin tietoturvaan liittyväksi esimerkkitapaukseksi.

Vastauspaperien (tieto) saatavuus oli hetken aikaa menetetty. Onneksi paperit saatiin takaisin, joten tiedon saatavuus pystyttiin takaamaan. Kolmas osapuoli pääsi kuitenkin lukemaan paketin sisältöä, joten tiedon luottamuksellisuus on menetetty.

Suurimmat ongelmat ovat kuitenkin pääsynvalvonnassa sekä tiedon eheydessä ja kiistämättömyydessä.

Pääsynvalvonta petti, joten kolmas osapuoli pääsi tietoon käsiksi. Vaikka papereita ei ollut kadonnut, niin päätyykö vastaanottajalle sama tieto, jonka lähettäjä on alunperin hänelle tarkoittanut? Mikäli tieto muuttuu matkalla, niin tiedon eheys on menetetty. Koska kenelläkään ei ole todisteita tapahtumien täydellisestä kulusta, niin myös tapahtumien kiistämättömyys on kyseenalaista.

Kyseessä on eräänlainen man-in-the-middle -hyökkäys, mutta fyysisessä maailmassa ja oikeilla paperidokumenteilla.

Muista: tietoturvallisuus ei ole pelkkä IT-asia!

Turha käyttäjätunnus on aina turha kustannus

Ylimääräiset käyttäjätunnukset ovat tietoturvariski, mutta ne ovat myös täysin turhia kustannustekijöitä. Kulut eivät kuitenkaan muodostu vain siitä, että tunnukset ja niihin liittyvät tiedostot täyttäisivät kovalevyjä.

Sen sijaan, jos Joku saisi palkkaa pelkästään turhista käyttäjätunnuksista johtuvasta työstä, niin sen kaverin toimeentulo olisi taattu jo minimipalkalla.

Tässä eräs tuhannen ja yhden turhan työn tarina aiheeseen liittyen.

Yrityksen mysteerisellä laskutusosastolla työskennellyt Möttönen vaihtoi työpaikkaa. Hän oli kyllästynyt amatöörien puuhasteluun. Möttönen oli hiljainen kaveri, jota ei juuri ollut yrityksen käytävillä, saati virkistyspäivillä näkynyt.

Kului muutama viikko ja asiakaspalvelun puhelin soi. Soittaja oli tuohtunut. Laskuttaja-Möttönen ei ollut vastannut lukuisiin yhteydenottopyyntöihin. Olihan yhteystiedot www-sivuilla oikein? Asiakaspalvelija lupasi selvittää asian. (Nyt sen Jonkun palkkalaskuri käynnistyi!)

ASPA: Möttönen ei kuulemma hoida tehtäviään.
Pikkupomo: Heh, Möttönen otti jostain syystä lopputilin muutama viikko sitten. Eikö tästä ole muka kerrottu?
ASPA:

ASPA: Miksi Möttösen yhteystiedot ovat edelleen www-sivuilla?
IT-guru: Miksi ei olisi? Käyttäjätunnusjärjestelmästä ajetaan yhteystiedot www-sivuille joka yö.
ASPA: Möttönen ei ole ollut meillä muutamaan viikkoon töissä.
IT-guru: Okei, hyvä että kerroit. Poistan tunnuksen ja tiedot www-sivuilta.
Pikkupomo: Älä poista tunnusta vielä. Möttösellä oli jotain tiedostoja, jotka piti ottaa talteen.
IT-guru: Okei, lukitsen tunnuksen. Otan ne tiedostot talteen myöhemmin.

IT-guru jäi pohtimaan, miten Möttösen yhteystiedot saa piiloon poistamatta koko tunnusta.

Pikkupomo: Oi Guru! Kerrotko, montako käyttäjätunnusta meillä on? Uuden SoftanX lisenssien hinnat on sidottu käyttäjien määrään. Käyttäjätunnusjärjestelmästähän tämän tiedon saa nopeasti!

IT-guru toimitti lukemat Pikkupomolle ja tilaus tehtiin. Kului pari kuukautta. Yritykseen rekrytoitiin lisää työntekijöitä. Tuorein tulokas oli Hannonen.

Pikkupomo: Tehkää Hannoselle samat käyttöoikeudet kuin Möttösellä oli aikoinaan.
IT-guru: Okei, teen heti! (…onneksi ne on helppo kopioida Möttösen tunnuksesta, säästyy turhalta työltä.)

Kahvitauolla…

IT-guru: Satutko muuten tietämään, missä osastolla Seppänen ja Korhonen työskentelevät? Heidän yhteystiedot puuttuivat järjestelmistä.
ASPA: Heh…he jäivät eläkkeelle jo ennen kuin sinä aloitit työt täällä.
IT-guru: Okei. Täytyy tutkia varmuuden vuoksi koko järjestelmä läpi, ettei siellä ole turhia tunnuksia.

Muutaman työtunnin ja kahdeksan poistetun käyttäjätunnuksen jälkeen…

IT-guru: SoftanX lisenssit maksoivat muistaakseni 200e kpl. Montakohan turhaa lisenssiä tuli tilattua?
IsoPomo: Missä on Pikkupomo? Minulla olisi hänelle vähän asiaa.

 

Kehitä yritykseesi sopiva prosessi käyttäjätunnusten hallitsemiseksi. Säästät hermoja ja euroja!