Kategoria: Esimerkkitapaus

Salasitko myös poistetut tiedostot?

USB-tikun tai levyosion salaaminen ei välttämättä salaa aikaisemmin poistettuja tiedostoja. Osiolta on siis mahdollista palauttaa jo poistetut tiedostot. Asiasta kysyttiin alunperin Truecrypt-ohjeen kommenttiosiossa. Laittakaa vastaavia haastavia ja mielenkiintoisia kysymyksiä tulemaan!

Kun poistat tiedoston esim. USB-tikulta, niin tiedosto ei oikeasti poistu. Käyttöjärjestelmä ei vain enää näe tiedostoa. Tiedosto on kuitenkin olemassa edelleen. Lue aiheesta lisää: Tiedostojen turvallinen poistaminen.

Salausta tehdessä pitää tietää, salataanko tiedostojen lisäksi myös vapaa tila. Jo poistetut tiedostot sijaitsevat käyttöjärjestelmän näkökulmasta tuossa vapaassa tilassa. Jos vapaata tilaa ei salata, tiedostot on palautettavissa.

Testasin tätä käytännössä. Tallensin 6 tiedostoa osiolle. Poistin niistä sen jälkeen 3 ensimmäistä.

Testdisk poistetut tiedostot

Yllä olevasta kuvasta huomaa, että käyttämäni TestDisk-työkalu näkee edelleen poistetut tiedostot. Ne on merkitty kuvassa (heikosti luettavalla) punaisella tekstillä. Seuraavaksi salasin osion Truecryptillä. Käytin salauksen yhteydessä osion pikaformatointia, joka ei salaa vapaata tilaa.

photorec tiedostojen palauttaminen

Salauksen jälkeen ajoin Photorec-työkalun. Photorec löysi ja palautti salatulta osiolta jopa 7 tiedostoa (kuva yllä). Ne olivat tässä sekä aikaisemmassa testissä poistamani tiedostot.

Jotta poistettujen tiedostojen palauttaminen salatulta muistitikulta tai osiolta ei olisi mahdollista, pitää myös vapaa tila salakirjoittaa. Toinen vaihtoehto on ylikirjoittaa tila ennen salausta esimerkiksi DBAN-ohjelmalla. Jotkut salausohjelmat voivat myös ylikirjoittaa tyhjän tilan salauksen yhteydessä.

Linkkejä aiheeseen liittyville ulkopuolisille sivuille:

Välimieshyökkäys vaaransi koevastaukset

Ylioppilaskokeiden vastauksia löytyi parkkipaikalta 31.3.2015 uutisoi Yle. Epäilysten mukaan ”joku” oli vienyt paketin postiautosta, mutta hylännyt dokumentit myöhemmin parkkipaikalle. Ohikulkija otti paperit talteen ja palautti ne koulun rehtorille. Tarkistuskierroksen jälkeen todettiin, että yhtään paperia ei ollut kadonnut.

Tapahtuma sopii hyvin tietoturvaan liittyväksi esimerkkitapaukseksi.

Vastauspaperien (tieto) saatavuus oli hetken aikaa menetetty. Onneksi paperit saatiin takaisin, joten tiedon saatavuus pystyttiin takaamaan. Kolmas osapuoli pääsi kuitenkin lukemaan paketin sisältöä, joten tiedon luottamuksellisuus on menetetty.

Suurimmat ongelmat ovat kuitenkin pääsynvalvonnassa sekä tiedon eheydessä ja kiistämättömyydessä.

Pääsynvalvonta petti, joten kolmas osapuoli pääsi tietoon käsiksi. Vaikka papereita ei ollut kadonnut, niin päätyykö vastaanottajalle sama tieto, jonka lähettäjä on alunperin hänelle tarkoittanut? Mikäli tieto muuttuu matkalla, niin tiedon eheys on menetetty. Koska kenelläkään ei ole todisteita tapahtumien täydellisestä kulusta, niin myös tapahtumien kiistämättömyys on kyseenalaista.

Kyseessä on eräänlainen man-in-the-middle -hyökkäys, mutta fyysisessä maailmassa ja oikeilla paperidokumenteilla.

Muista: tietoturvallisuus ei ole pelkkä IT-asia!

Turha käyttäjätunnus on aina turha kustannus

Ylimääräiset käyttäjätunnukset ovat tietoturvariski, mutta ne ovat myös täysin turhia kustannustekijöitä. Kulut eivät kuitenkaan muodostu vain siitä, että tunnukset ja niihin liittyvät tiedostot täyttäisivät kovalevyjä.

Sen sijaan, jos Joku saisi palkkaa pelkästään turhista käyttäjätunnuksista johtuvasta työstä, niin sen kaverin toimeentulo olisi taattu jo minimipalkalla.

Tässä eräs tuhannen ja yhden turhan työn tarina aiheeseen liittyen.

Yrityksen mysteerisellä laskutusosastolla työskennellyt Möttönen vaihtoi työpaikkaa. Hän oli kyllästynyt amatöörien puuhasteluun. Möttönen oli hiljainen kaveri, jota ei juuri ollut yrityksen käytävillä, saati virkistyspäivillä näkynyt.

Kului muutama viikko ja asiakaspalvelun puhelin soi. Soittaja oli tuohtunut. Laskuttaja-Möttönen ei ollut vastannut lukuisiin yhteydenottopyyntöihin. Olihan yhteystiedot www-sivuilla oikein? Asiakaspalvelija lupasi selvittää asian. (Nyt sen Jonkun palkkalaskuri käynnistyi!)

ASPA: Möttönen ei kuulemma hoida tehtäviään.
Pikkupomo: Heh, Möttönen otti jostain syystä lopputilin muutama viikko sitten. Eikö tästä ole muka kerrottu?
ASPA:

ASPA: Miksi Möttösen yhteystiedot ovat edelleen www-sivuilla?
IT-guru: Miksi ei olisi? Käyttäjätunnusjärjestelmästä ajetaan yhteystiedot www-sivuille joka yö.
ASPA: Möttönen ei ole ollut meillä muutamaan viikkoon töissä.
IT-guru: Okei, hyvä että kerroit. Poistan tunnuksen ja tiedot www-sivuilta.
Pikkupomo: Älä poista tunnusta vielä. Möttösellä oli jotain tiedostoja, jotka piti ottaa talteen.
IT-guru: Okei, lukitsen tunnuksen. Otan ne tiedostot talteen myöhemmin.

IT-guru jäi pohtimaan, miten Möttösen yhteystiedot saa piiloon poistamatta koko tunnusta.

Pikkupomo: Oi Guru! Kerrotko, montako käyttäjätunnusta meillä on? Uuden SoftanX lisenssien hinnat on sidottu käyttäjien määrään. Käyttäjätunnusjärjestelmästähän tämän tiedon saa nopeasti!

IT-guru toimitti lukemat Pikkupomolle ja tilaus tehtiin. Kului pari kuukautta. Yritykseen rekrytoitiin lisää työntekijöitä. Tuorein tulokas oli Hannonen.

Pikkupomo: Tehkää Hannoselle samat käyttöoikeudet kuin Möttösellä oli aikoinaan.
IT-guru: Okei, teen heti! (…onneksi ne on helppo kopioida Möttösen tunnuksesta, säästyy turhalta työltä.)

Kahvitauolla…

IT-guru: Satutko muuten tietämään, missä osastolla Seppänen ja Korhonen työskentelevät? Heidän yhteystiedot puuttuivat järjestelmistä.
ASPA: Heh…he jäivät eläkkeelle jo ennen kuin sinä aloitit työt täällä.
IT-guru: Okei. Täytyy tutkia varmuuden vuoksi koko järjestelmä läpi, ettei siellä ole turhia tunnuksia.

Muutaman työtunnin ja kahdeksan poistetun käyttäjätunnuksen jälkeen…

IT-guru: SoftanX lisenssit maksoivat muistaakseni 200e kpl. Montakohan turhaa lisenssiä tuli tilattua?
IsoPomo: Missä on Pikkupomo? Minulla olisi hänelle vähän asiaa.

 

Kehitä yritykseesi sopiva prosessi käyttäjätunnusten hallitsemiseksi. Säästät hermoja ja euroja!

 

Vihreät vakoilevat siat

Lukuisissa medioissa on kerrottu tiedustelupalveluiden keräävän ihmisistä tietoja mm. Angry Birds -pelin avulla. Angry Birds on tässä tapauksessa pelkkä sivujuoni. Ongelma on jossain ihan muualla.

Peli mainitaan lähinnä näistä kolmesta syystä:

  1. Kaikkien tuntema sovellus.
  2. Moneen laitteeseen asennettu.
  3. Suomalainen tuote + vakoiluskandaali = paljon kiinnostusta ja huomiota.

Yleistetäämpä hieman: mikä tahansa älypuhelimeen asennettava sovellus saattaa kerätä käyttäjästä tietoja. Oikeastaan mikä tahansa laite tai sovellus, jonka sisälmyksiä (esim. lähdekoodia) ei voi tutkia, saattaa kerätä käyttäjästä sekä ympäristöstä tietoja. Oli se sitten puhelin, tietokone, äly-TV tai kahvinkeitin. Kyllä, nettiin kytkettyjä kahvinkeittimiä on olemassa.

Miten tietoja kerätään?
Ilmaissovellusten tekijät haluavat usein rahoittaa projektejaan jollain tavalla. Yksi keino on myydä mainostilaa sovelluksesta itsestään. Olet varmasti nähnyt mobiilisovelluksissa vaihtuvia mainoksia? Ne ladataan sovellukseen laitteen datayhteyden avulla. Samaa reittiä pitkin tiedot liikkuvat myös toiseen suuntaan kolmansille osapuolille, jotka sitten myyvät tietoja eteenpäin. Tiedustelupalvelut ottavat tietysti tarvitsemansa infon siinä samalla.

Henkilöllä pitäisi aina olla oikeus päättää, kerätäänkö hänestä tietoja vai ei. Tämä on valitettavan hankalaa nykymaailmassa. Toivottavasti meillä on tulevaisuudessa myös sellaisia, kaiken kansan saatavilla olevia mobiililaitteita, -käyttöjärjestelmiä ja -sovelluksia, jotka kunnioittavat käyttäjän yksityisyyttä sekä omaa tahtoa.

Tietojen keruu ei tosin ole vain mobiilisovellusten ongelma. Samanlaista touhua tapahtuu myös esimerkiksi suomalaisilla verkkosivustoilla! Verkkosivujen analytiikkatyökalut sekä sosiaalisen median Tykkää/Jaa -napit keräävät käyttäjistä tietoja.

 

ps. Perun välittömästi puheeni siitä, että Angry Birds on vain sivujuoni tässä tapauksessa. Pelin idea kertoo kaiken oleellisen tietojen keruusta:
”Vihreät siat ovat kaapanneet munat lintujen pesästä, mistä raivostuneet linnut yrittävät ritsan avulla osua sikoihin tai niiden rakennelmiin.” –Wikipedia

Taustakuva täydentää tiedon

Paljon julkisilla kulkuvälineillä matkustaville työntekijöille suositellaan usein kannettavan tietokoneen näyttöön asennettavaa tietoturvakalvoa. Sen idea on sumentaa näyttö kaikilta muilta paitsi koneen käyttäjältä. Tällaiselle kalvolle olisi taas ollut käyttöä.

Olin linja-autossa ja edessäni istui kaksi henkilöä. He puhuivat selkeästi jotain työhön liittyvää. Jossain vaiheessa toinen näytti tietoja kannettavalta tietokoneeltaan. Pimeässä loistava näyttö kiinnostaa tietysti uteliasta kuten Windows XP hämärähemmoja vuoden 2014 huhtikuun 8. päivän jälkeen.

Henkilöiden keskustelut oli nyt yhdistettävissä organisaatioon, joten puhutut asiat saivat ihan eri merkityksen.

Tässä vielä vertailun vuoksi kaksi erilaista esimerkkitaustakuvaa.

turvaton_tausta

Taustakuva kertoo organisaation.

turvallinen_tausta

Taustakuva ei kerro mitään ylimääräistä.