Salasitko myös poistetut tiedostot?

USB-tikun tai levyosion salaaminen ei välttämättä salaa aikaisemmin poistettuja tiedostoja. Osiolta on siis mahdollista palauttaa jo poistetut tiedostot. Asiasta kysyttiin alunperin Truecrypt-ohjeen kommenttiosiossa. Laittakaa vastaavia haastavia ja mielenkiintoisia kysymyksiä tulemaan!

Kun poistat tiedoston esim. USB-tikulta, niin tiedosto ei oikeasti poistu. Käyttöjärjestelmä ei vain enää näe tiedostoa. Tiedosto on kuitenkin olemassa edelleen. Lue aiheesta lisää: Tiedostojen turvallinen poistaminen.

Salausta tehdessä pitää tietää, salataanko tiedostojen lisäksi myös vapaa tila. Jo poistetut tiedostot sijaitsevat käyttöjärjestelmän näkökulmasta tuossa vapaassa tilassa. Jos vapaata tilaa ei salata, tiedostot on palautettavissa.

Testasin tätä käytännössä. Tallensin 6 tiedostoa osiolle. Poistin niistä sen jälkeen 3 ensimmäistä.

Testdisk poistetut tiedostot

Yllä olevasta kuvasta huomaa, että käyttämäni TestDisk-työkalu näkee edelleen poistetut tiedostot. Ne on merkitty kuvassa (heikosti luettavalla) punaisella tekstillä. Seuraavaksi salasin osion Truecryptillä. Käytin salauksen yhteydessä osion pikaformatointia, joka ei salaa vapaata tilaa.

photorec tiedostojen palauttaminen

Salauksen jälkeen ajoin Photorec-työkalun. Photorec löysi ja palautti salatulta osiolta jopa 7 tiedostoa (kuva yllä). Ne olivat tässä sekä aikaisemmassa testissä poistamani tiedostot.

Jotta poistettujen tiedostojen palauttaminen salatulta muistitikulta tai osiolta ei olisi mahdollista, pitää myös vapaa tila salakirjoittaa. Toinen vaihtoehto on ylikirjoittaa tila ennen salausta esimerkiksi DBAN-ohjelmalla. Jotkut salausohjelmat voivat myös ylikirjoittaa tyhjän tilan salauksen yhteydessä.

Linkkejä aiheeseen liittyville ulkopuolisille sivuille:

Tietoturvallisuuden (parempi) määrittely mahdollistaa mittaamisen

Tietoturvallisuuden määrittely on ongelmallinen. James M. Andersonin (CISSP), mukaan*  tarvitsemme täysin uuden määritelmän tietoturvalle. Andersonilla on hyvä pointti. Meidän pitää pystyä määrittelemään tietoturvallisuus paremmin, jotta 1) asiasta keskustelu olisi helpompaa, ja 2) tietoturvallisuuden mittaaminen onnistuisi paremmin.

Tietoturvallisuuden määritelmä aiheuttaa ongelmia

Tyypillisesti tietoturvallisuus määritellään seuraavasti. Tietoturvallisuus on tiedon eheyden, saatavuuden ja luottamuksellisuuden varmistamista. Ongelman paljastaa seuraava kysymys: miten voit mitata organisaation tietoturvan tasoa eli tiedon eheyttä, saatavuutta ja luottamuksellisuutta? Andersonin mukaan meillä ei ole järkeviä keinoja kyseisten asioiden mittaamiseksi. Ongelma muodostuu siitä, että tietoturvallisuuden määritelmä ei todellisuudessa kerro tarpeeksi konkreettisesti, mistä tietoturvallisuudessa on kyse.

Tietoturvan määritelmä aiheuttaa ongelmia myös tietoturvavastaaville ja organisaation johtajille. Olet vastuussa epämääräisestä asiasta. On myös hullua maksaa isoja summia rahaa jostakin, jota ei ole määritetty kunnolla.

Tietoturvallisuuden uusi määritelmä

Ongelman ratkaisemiseksi Anderson ehdottaa tietoturvan määritelmäksi seuraavaa:
”A well-informed sense of assurance that information risks and controls are in balance.”

Suomentaisin sen vapaasti näin:
”Hyvin perusteltu ja varma näkemys siitä, että tietoturvariskit ja -kontrollit ovat tasapainossa.”

Anderson avaa uutta määrittelyä julkaisussaan*. Pointti on se, että uusi määrittely mahdollistaa paremmin tietoturvan tason mittaamisen, sekä aiheesta keskustelun. Alla on omaa tulkintaani Andersonin julkaisua vapaasti suomentaen. Kappaleen lopussa suluissa, on se määrittelyn kohta, johon kuvaus kuuluu.

Hyvin perusteltu näkemys muodostuu kokonaisuuden tunnistamisesta. Tietoturvasta vastaavilla henkilöillä tulee olla osaamista, tietoturvan lisäksi, myös organisaation toimintaympäristöstä sekä liiketoiminnasta. Pitää osata kertoa, miten tietoturvallisuudella suojataan liiketoimintaa. Tietoturvan tasosta tulee kertoa systemaattisesti organisaation ylimmälle johdolle (well-informed).

Varmuus puolestaan muodostuu siitä, että organisaatio tietää tietoturvansa tason. On tiedettävä, mikä organisaatiota uhkaa ja miten uhkilta suojaudutaan (sense of assurance).

Tietoturvariskit ja niihin liittyvät uhat on oltava tunnistettu kyseisen organisaation näkökulmasta. Ei riitä, että tuntee samalla alalla toimivan organisaation riskejä. Kaikilla on omansa. On tunnettava yritys, toimintaympäristö ja siinä olevat riskit. Ymmärryksen perusteella rakennetaan tarvittavat suojaukset (information risks).

On pystyttävä osoittamaan, miten tietoa suojataan. On myös oltava varmuus, että suojaus toimii, kuten pitäisi. Muuten samaa virheellistä suojausta saatetaan monistaa useampaan ympäristöön, jolloin ongelmia kertaantuu useampaan paikkaan (information controls).

Vaikein asia on tunnistaa, ovatko uhat ja niitä vastaavat suojaukset tasapainossa, sekä toiminnallisesti että taloudellisesti. Organisaation ylimmän johdon on oltava tietoisia riskeistä. Heidän on myös ymmärrettävä ne, jotta riskejä käsiteltäisiin oikein (are in balance).

Mielestäni yleisesti käytetty määritelmä kiteyttää tietoturvallisuuden hyvin. Aihe on kuitenkin erittäin laaja ja usein sitä on avattava enemmän. Andersonin ehdottama määritelmä sisältää monia mitattavissa, ja helpommin keskusteltavissa olevia asioita. Olennaista on kuitenkin se, että organisaation työntekijöille kerrotaan, mitä tietoturvallisuudella tarkoitetaan, ja miten se vaikuttaa liiketoimintaan.

Tietoturvallisuus mahdollistaa paremman bisneksen. Asenne kuntoon ja tuloskäyrät kattoon.

*Lähteet:
”Why we need a new definition of information security”, Anderson, James M. Julkaisussa Computers & Security 2003, Vol.22(4).

Ransomware tietoisku ja posteri

Ohessa on tietoisku Ransomware eli kiristyshaittaohjelmista. Tein tietoiskun osana YAMK-opintojen Cybersecurity Management (kyberturvallisuuden hallinta) -kurssia. Tehtävänä oli tuottaa materiaalia sosiaalisen median tietoturvakampanjaa varten. Toinen osa tietoiskusta julkaistaan myöhemmin.

Lataa suomenkielinen Ransomware-posteri. Saatavilla on myös alkuperäinen englanninkielinen posteri.  Alla pieni esikatselukuva.

ransomware tietoisku

Ransomware eli kiristyshaittaohjelma ottaa haltuun tietokoneesi tai puhelimesi ja pyytää sinulta rahaa sen vapauttamiseksi.

F-Securen uhkaraportin mukaan yksi tietty kiristyshaittaohjelmaperhe oli vuoden 2014 jälkimmäisellä puoliskolla 10. suurin haittaohjelmauhka maailmassa. “Vasta kymmenes?” saatat pohtia.

Kyseinen haittaohjelmatyyppi on ollut huomattava ongelma viimeisen parin vuoden aikana. Havaituista uhista se saattaa olla jopa kaikkein ongelmallisin. (F-Secure 2014)

Näin Ransomware toimii

1. Saastuminen
Voit saada kiristyshaittaohjelman koneellesi saastuneesta sähköpostin liitetiedostosta tai päivittämättömän selainlaajennoksen kautta.

2. Salaus
Kiristyshaittaohjelma etsii koneeltasi mielenkiintoisia tiedostoja, kuten tekstidokumentteja, kuvia jne. Sitten ohjelma salakirjoittaa tiedostot niin, ettet voi käyttää niitä enää.

3. Kiristys
Haittaohjelma lukitsee koko laitteen ja pyytää rahaa. Käyttäjän on maksettava ajoissa tai hinta nousee.

4. Pelastus
Jos käyttäjä maksaa, tiedostot ehkä vapautetaan lukituksesta.

Miten suojaudun kiristyshaittaohjelmalta?

Paras suojaus kiristyshaittaohjelmia vastaan on pitää koneesi päivitettynä ja varmuuskopioida usein. Onko koneesi jo saastunut? Puhdista järjestelmä ja palauta kaikki tiedostot varmuuskopioista. Älä maksa rikollisille!

Lue lisää kiristyshaittaohjelmista poliisin, kyberturvallisuuskeskuksen ja F-Securen tekemältä sivustolta sekä F-Secure uhkaraportista H2/2014.

Kootut selitykset: palvelinten ja järjestelmien (epä)ammattimainen päivittäminen

Palvelinten ja järjestelmien päivittäminen on leppoisaa järjestelmäasiantuntijan perustyötä. Ohessa vinkit hommasta kiinnostuneille.

Näin asennat palvelusi tietoturvapäivitykset

1. Suunnittelu

Esimerkiksi korjaus- ja tietoturvapäivitysten asentamisen suunnittelu on turhaa. Ajat vain päivitykset, kun ne tulevat jakoon. Päivitysprosessi etenee suurin piirtein näin:
Päivityksiä tarjolla > Next > Next > Eiku > Oho > Perkele!

2. Viestintä

Palvelun käyttäjille tai sen pääkäyttäjälle ei tarvitse ilmoittaa päivityksistä. He kyllä ymmärtävät, että kyseessä on päivitys, kun palvelu on ollut poissa käytöstä useita tunteja. Käyttäjät myös arvostavat sitä, kun ajat päivitykset aamupäivällä kello 9-12 välisenä aikana.

3. Päivitysten testaaminen

Voit oikeastaan ajaa päivitykset suoraan tuotantoympäristöön, koska ne joutuu ajamaan sinne joka tapauksessa jossain vaiheessa.

4. Palvelinten päivitysjärjestys

Päivitä kaikki palvelun palvelimet yhtä aikaa. Näin kaikkiin tulee saman tien uusimmat versiot. Kaikkien palvelinten yhtäaikainen päivittäminen näkyy käyttäjille vain hetkellisenä käyttökatkona.

5. Päivitysten sisältöön tutustuminen

Tietoturvapäivitys sisältää tietoturvapäivityksiä. Ei niitä tarvitse sen enempää pohtia. Ei ne vaikuta järjestelmän perustoimintaan millään tavalla.

6. Varmuuskopiot

Koska tietoturvapäivitykset ovat tietoturvapäivityksiä, niin järjestelmää on turha varmuuskopioida. Olisi myös yliampuvaa ottaa koko palvelimesta ns. snapshot-varmuuskopiota. Varmuuskopiot vie turhaa tilaa.

7. Uudelleenkäynnistys

Jotta päivitykset asentuisivat oikein, pitää palvelu käynnistää uudelleen. Uudelleenkäynnistystä ei kannata tehdä keskellä päivää. Sehän häiritsisi käyttäjiä! Sen sijaan ohjelmoidaan uudelleenkäynnistys tapahtumaan keskellä yötä. Mieluiten samaan hetkeen, jolloin palvelusta otetaan automaattista varmuuskopiota.

t. nimimerkit

#7oikein
#kokemuksensyvarintaaani
#ammattilainenasialla
#kantapaankautta

Välimieshyökkäys vaaransi koevastaukset

Ylioppilaskokeiden vastauksia löytyi parkkipaikalta 31.3.2015 uutisoi Yle. Epäilysten mukaan ”joku” oli vienyt paketin postiautosta, mutta hylännyt dokumentit myöhemmin parkkipaikalle. Ohikulkija otti paperit talteen ja palautti ne koulun rehtorille. Tarkistuskierroksen jälkeen todettiin, että yhtään paperia ei ollut kadonnut.

Tapahtuma sopii hyvin tietoturvaan liittyväksi esimerkkitapaukseksi.

Vastauspaperien (tieto) saatavuus oli hetken aikaa menetetty. Onneksi paperit saatiin takaisin, joten tiedon saatavuus pystyttiin takaamaan. Kolmas osapuoli pääsi kuitenkin lukemaan paketin sisältöä, joten tiedon luottamuksellisuus on menetetty.

Suurimmat ongelmat ovat kuitenkin pääsynvalvonnassa sekä tiedon eheydessä ja kiistämättömyydessä.

Pääsynvalvonta petti, joten kolmas osapuoli pääsi tietoon käsiksi. Vaikka papereita ei ollut kadonnut, niin päätyykö vastaanottajalle sama tieto, jonka lähettäjä on alunperin hänelle tarkoittanut? Mikäli tieto muuttuu matkalla, niin tiedon eheys on menetetty. Koska kenelläkään ei ole todisteita tapahtumien täydellisestä kulusta, niin myös tapahtumien kiistämättömyys on kyseenalaista.

Kyseessä on eräänlainen man-in-the-middle -hyökkäys, mutta fyysisessä maailmassa ja oikeilla paperidokumenteilla.

Muista: tietoturvallisuus ei ole pelkkä IT-asia!