Vasara avuksi riskienhallintaan

Nurkissa pyöri muutama vanha kiintolevy, joille piti löytää uusi osoite. Eikun DBAN-sovellus pyörimään ja levyt täyteen random-dataa.

Kiintolevyn tiedostot tulee poistaa kunnolla, kun levy on lähdössä uudelle omistajalle tai kierrätykseen. Pelkkä käyttöjärjestelmän Poista-komento ei riitä.

Tiedoston poistaminen ei siis poista tiedostoa!

Ylen loistavassa Team Whack -hakkerisarjassa näytetään, mitä tietoa levyiltä on palautettavissa. Tavallisesti poistettujen tiedostojen palauttaminen on myös kotioloissa melko yksinkertaista.

Palautustoimenpiteitä vastaan voidaan suojautua usealla tavalla. Yritysmaailmaan vinkkejä voi ottaa esimerkiksi Kyberturvallisuuskeskuksen ohjeesta ”Kiintolevyjen elinkaaren hallinta – Ylikirjoitus ja uusiokäyttö

Yksi kiintolevyistäni oli sen verran huonossa kunnossa, että ylikirjoitus ei onnistunut luotettavasti. Riskinä oli, että tiedostot voidaan palauttaa kotikonstein. Tämän takia edellä mainittua kirjainyhdistelmää piti hieman soveltaa:

Drill, Bang and Neutralize.

kiintolevyn tuhoaminen

Riskiarvio oikaistiin vasaralla.

Miksi yrityksiä hakkeroidaan?

Päivittäinen tietoturvauutisointi pistää miettimään. Verkkorikollisuus on jatkuvasti pinnalla. Onko olemassa yritystä, joka ei kelpaisi kohteeksi?

Rikollisia kiinnostaa meidän rahat, resurssit ja osaaminen.

Rahaa yritetään saada monin eri tavoin. Rahaa rosvotaan väärennetyillä laskuilla ja maksutiedoilla, varastettuja (henkilö)tietoja myymällä ja kiristämällä.

Resursseista rikollisia kiinnostavat esimerkiksi erilaiset tietojärjestelmät. Verkkomedioissa on uutisoitu esimerkiksi siitä, että eri korkeakoulujen kirjastoihin on tehty kohdennettuja tietoturvahyökkäyksiä, joilla tavoitellaan pääsyä kirjastojen tietokantoihin.

Kyllä, kirjatkin viedään käsistä!

IT-resurssejamme (läppärit, puhelimet, palvelimet, IoT-laitteet jne.) yritetään puolestaan valjastaa osaksi laajempia verkkohyökkäyksiä. Osaamisen varastaminen on käytännössä vakoilua. Onneksi vanha vitsaus ”meillä ei ole mitään salattavaa” jäi viime vuosikymmenelle. Toteamusta ei ole hetkeen kuulunut.

Välillä tuntuu siltä, että verkkorikollisille kelpaa kaikki.

Kyberturvallisuuskeskuksen julkaisema Kybersää-raportti avaa hyvin suomalaisten organisaatioiden tietoturvahaasteita. Tässä muutama lumettoman talven värinen poiminta nykytrendeistä:

  • ”Office 365 -tilien kalastelu johtaa edelleen tietomurtoihin päivittäin.” (Kybersää 10/2019)
  • Tietomurroissa ”…Office-365-tapaukset ovat uusi normaali”. (Kybersää 1/2020)

On siellä Kybersäässä myös aurinkoisempia uutisia. Kannattaa tutustua!

Nolosta nohevaksi ja muita vinkkejä tilaturvallisuuteen

Yle A-studion turvatestissä testattiin suomalaista tee-se-itse näkymättömyysviittaa: keltaiset liivit, kypärä ja tikkaat. Tällä yhdistelmällä varustettu toimittaja onnistui kävelemään sisään merkittäviin yrityksiin ja valtion laitoksiin. Testin perusteella organisaatioiden tilaturvallisuus ei ollut kunnossa.

Testin kohteeksi joutuneet päässeet organisaatiot perustelivat tapahtunutta seuraavasti:

  • Valvonta on hankalaa, koska rakennuksessa on muitakin toimijoita.
  • Aulapalvelun toimintaa on kehitettävä.
  • Tapahtui inhimillinen virhe.

Perustelut saattavat kuulostaa selittelyltä. Karu totuus on kuitenkin se, että monitoimijaympäristössä on hankala vahtia henkilöiden liikkeitä. Olit sitten vartiointiliikkeen kouluttama aulapalveluhenkilö tai rakennuksessa toimivan yrityksen työntekijä.

Ja onhan se nyt hemmetin noloa mennä utelemaan toisilta, että mitäs täällä teet?

Kaikkia alueita ei ole kuitenkaan tarvetta vahtia samalla tavalla. Voi olla ihan perusteltua, että yrityksen aulatiloissa saa liikkua vapaasti.

Henkilöstön pitää kuitenkin tietää ne tilat, joihin ulkopuolisilla ei ole asiaa. Jos näissä tiloissa liikkuu ulkopuolisia, on nolosta tultava noheva.

Miksi tilaturvallisuus on tärkeää?

Tilaturvallisuus on tärkeää, koska sillä on vaikutusta moneen eri asiaan. Ohessa esimerkkejä.

Verkkolaitteiden ja muiden IT-laitteiden tietoturvariskit. Tiloihin voidaan asentaa vakoilulaitteita tai verkkolaitteita, joilla päästään yrityksen sisäverkkoon. Tietokoneisiin voidaan asentaa ohjelmistopohjaisia tai fyysisiä näppäimistönkuuntelijoita. Kyllä, nämä on juuri niitä agenttileffojen vimpaimia, jotka saa ostettua netistä muutamalla kympillä.

Varkauksiin liittyvät riskit. Yrityksen laitteita tai paperimuodossa olevia tietoja voidaan varastaa. Toki myös työntekijöiden kukkarot, puhelimet ja muu omaisuus ovat vaarassa. Huom! Varas ei aina ole yrityksen ulkopuolinen henkilö.

Kohteen ydintoimintaan liittyvät riskit. Häiritsemällä esimerkiksi yhteiskunnalle merkittävien kohteiden (lentokentät, voimalaitokset, vesilaitokset) toimintaa, voidaan tehdä haittaa koko yhteiskunnalle.

Yrityksen vierailukäytännöt voivat myös kertoa jotain yrityksen tietoturvallisuudesta kokonaisuutena. Lue esim. 1) Vierailukäytännöt viestittävät yritysturvallisuudesta, ja 2) Kadonnut vierailijakortti on tietoturvauhka?

Kolme vinkkiä tilaturvallisuuden parantamiseksi

1) Mieti tilaturvallisuutta kokonaisuutena. Mihin vieraat saavat kulkea omatoimisesti, mistä eteenpäin vaaditaan saattaja, mihin ei ole vierailla laisinkaan asiaa. Tilaturvallisuus on osa yrityksen kokonaisturvallisuutta. Kaikki uhat eivät ole kyberuhkia.

Tilaturvallisuutta on hyvä tarkastella esimerkiksi silloin, kun palaa lomalta. Lue lomalta palaajan tietoturva-aiheinen muistilista.

Tutustu myös VAHTI 2/2013 Toimitilojen tietoturvaohje.

2) Muista puhtaan pöydän politiikka ja Win + L kun poistut tilasta. Ei ole myöskään huono ajatus laittaa läppäriä lukittuun kaappiin, kun poistuu päivän päätteeksi työpaikalta.

3) Millä asialla olet? Hyvä kysymys niille, joilla ei ole yrityksen henkilökorttia tai joita et tunnista. Tätä kysymystä studion asiantuntijatkin suosittelivat. Ihan sama, mitä henkilö vastaa. Kysymys ei ole koskaan turha!

Nolostelut sikseen!

Lähteitä:
Yle A-studio 25.7.2018.
Studion asiantuntijaraati: Mikko Hyppönen F-Securesta, Ville Salonen Securitaksesta, Jouni Mustonen Valtorista sekä turvallisuuskouluttaja Jari Stolt. Juontajana Jan Andersson. Toimittaja Pasi Peiponen.

VAHTI 2/2013 Toimitilojen tietoturvaohje

Mitä kodin IoT-laitteet opettavat yrityksille tietoturvasta?

Kotitalouksista löytyy erilaisia Internet of Things (IoT) -laitteita, joiden ominaisuuksiin ja toimintaan tutustumalla on mahdollista oppia tietoturvallisuudesta paljon. Oppi on suoraan hyödynnettävissä yritysten tietojärjestelmien ja laitteiden tietoturvallisuuden parantamisessa. Blogiviestin loppuosassa on 4+1 asiaa, jotka kodin IoT-laitteet opettavat yrityksille tietoturvasta. Seuraavaksi kerron, miten päädyin listaamaan juuri nämä asiat.

Tietoturvahavaintoja kodin IoT-laitteista

Loppuvuonna 2016 maailmalla ja Suomessa havaittiin laaja hyökkäysoperaatio IoT-laitteita kohtaan. Mirai-haittaohjelma etsi internetistä laitteita, joiden etähallintasovellus oli avoinna internetiin. Haavoittuvat laitteet oli mahdollista kytkeä osaksi maailmanlaajuista bottiverkkoa, jota hyödynnetään esimerkiksi palvelunestohyökkäyksissä yrityksiä vastaan. (Lähde ja lisätiedot: Kyberturvallisuuskeskus)

Tarkistin omat laitteeni Mirain varalta ja tein samalla kevyen tutkimuksen, jonka kohteeksi päätyi neljä hyllyssä lepäilevää kodin IoT-laitetta. Etsin laitteisiin liittyvää yleistietoa, jota esimerkiksi Mirain kaltaiset haittaohjelmat hyödyntävät. Tarkistin laitteiden avoimet TCP-portit Nmap-työkalulla. Tutkin myös, löytyikö laitteisiin tunnettuja haavoittuvuuksia. Lisäksi kirjasin talteen asennetut käyttöjärjestelmäversiot, saatavilla olevat päivitykset ja muut huomiot.

Kaikkia laitteita on joskus käytetty ja ne ovat edelleen täysin toimivia. En nollannut laitteiden asetuksia. Laitteet olivat: Blu-ray soitin, Linksysin uudempi ja vanhempi langaton reititin sekä tuore järjestelmäkamera. Jätän tarkoituksella tarkat mallit kertomatta. Mallitiedot ovat epäolennaisia kokonaisuuden kannalta. Ohessa on tiivis koonti jokaisen laitteen osalta.

Blu-ray soitin

Ostin laitteen joskus reilu viisi vuotta sitten. Laitteen tarkka ikä ei ole tiedossa.
Tämä Blu-ray soitin sujahti nettiin heti verkkojohdon kytkemisen jälkeen. Huom! Olen käyttänyt laitteen verkossa kerran aikaisemmin, en ole täysin varma, onko verkkotoiminto oletuksena päällä.

Laitteen käyttöjärjestelmä on päivitettävä, jotta verkkotoimintoja voi käyttää. Laite tarjoaa itse päivitystä asennettavaksi. Käytössä on laitteen mukana tullut versio, jonka julkaisuajankohdasta ei sen tarkempaa tietoa. Uusin laitteen kautta tarjolla oleva versio on julkaistu 12/2014.

Skannauksen perusteella kaikki laitteen portit ovat kiinni.

Vanha Linksysin langaton reititin

Nmap-skannauksen perusteella selviää, että laitteen FTP ja telnet -portit on erikseen suljettu. Sen sijaan laitteessa on auki www-palvelin. Kyseessä on reitittimen hallintapaneeli, joka on oletuksena käytössä suojaamattoman HTTP-yhteyden yli.
Hallintapaneelista selviää, että mm. internetin yli toimiva etähallintatoiminto ja UPnP on otettu pois päältä. Laitteen hallintapaneelin oletustunnukset on muutettu. Suojattu HTTPS-pohjainen hallintayhteys on myös mahdollista kytkeä päälle.

Laite on yli kymmenen vuotta vanha ja laitteen ohjelmistoversio on vuodelta 2007. Linksysin tukisivuilla ei ole tarjolla päivitystä kyseiselle laitteelle. Outoa.

Uudempi Linksysin langaton reititin

Laite on taloyhtiön verkko-operaattorin toimittama ja konfiguroima. Päälle on kirjattu langattoman verkon SSID ja salasana. Käyttäjäystävällistä siis…

Laitteeseen asennettu käyttöjärjestelmä on päivätty vuodelle 2012. Tuorein saatavilla oleva versio on päivätty vuodelle 2016.

Laitteessa oli neljä avointa porttia: www-hallintapaneeli, UPnP-yhteys sekä kaksi muuta porttia, joiden tarkoitus jäi epäselväksi.

Oletustunnukset hallintapaneeliin olivat edelleen käytössä. Etähallintatoiminto oli kuitenkin pois päältä, eli hallintapaneelia voi virallisia reittejä pitkin käyttää vain samasta lähiverkosta, ei internetin yli.

Tätä laitemallia kohtaan on toteutettu ainakin yksi hyökkäystyökalu, jonka koodi on julkaistu internetissä. Haittaohjelman nimeksi on annettu The Moon. Haittaohjelman toimintaidea on sama, kuin Mirai-tapauksessakin. Internetistä etsitään laitetta, jossa on tietty portti avoinna, jonka jälkeen laitteeseen murtaudutaan haavoittuvuutta hyväksikäyttäen.

Linksys neuvoo päivittämään laitteen uusimpaan versioon ja ottamaan etähallintatoiminnot pois päältä. Lisätietoja aiheesta:

Tuore järjestelmäkamera

Järjestelmäkamera on mahdollista kytkeä verkkoon langattoman yhteyden kautta. Verkkotoiminnon käyttöönotto vaatii konfigurointia, joka toteutetaan erillisellä sovelluksella. Sovellus tarkistaa samalla ohjelmistoversion sekä suojattuun tiedonsiirtoon tarvittavat SSL-sertifikaatit.

Laitteessa on kaksi erilaista verkkotoimintoa. Ensimmäinen vaihtoehto mahdollistaa kameran etäohjauksen mobiililaitteella. Toinen mahdollistaa kameralla otettujen kuvien lähettämisen pilvipalveluun, josta kuvat on jaettavissa eteenpäin muille käyttäjille.

Verkkotoiminto pitää erikseen kytkeä päälle kamerasta. Toiminto jää päälle myös kameran uudelleenkäynnistyksen jälkeen, mutta kamera ei kytkeydy suoraan langattomaan verkkoon, vaikka toiminto olisikin päällä. Langaton verkko valitaan vasta, kun tiedetään mitä toimintoa halutaan käyttää. Verkkoportit avataan toiminnon perusteella.

4+1 vinkkiä

Huomioiden ja havaintojen perusteella voidaan muodostaa seuraavia vinkkejä:

1. Muista IoT-laitteiden ja tietojärjestelmien olemassaolo

Normaalikäytössä reitittimet ja Blu-ray soitin ovat koko ajan verkossa. Kamera pitää joka kerta erikseen käskeä verkkoon. Jatkuva verkkoyhteys altistaa laitteet hyökkäyksille ympäri vuorokauden. Vaikka IoT-laitteen luonteeseen kuuluu se, että verkkoyhteys on olemassa, niin laitteita ei pidä kuitenkaan unohtaa verkkoon. Jos laitteelle tai sen verkkoyhteydelle ei ole tarvetta, niin ota se pois käytöstä. Järjestelmäkameran yhteydet on toteutettu niin, että sitä ei voi unohtaa verkkoon, koska yhteys muodostetaan aina erikseen.

2. Ole tietoinen päivitysten saatavuudesta

Reitittimiä voi käyttää vuosia päivittämättä. Jää käyttäjän vastuulle selvittää, onko laitteiden käyttöjärjestelmille päivityksiä tarjolla. Tätä voi helpottaa esimerkiksi tilaamalla valmistajilta sähköposti-ilmoitukset uusista päivityksistä. Parempi olisi, jos laite itse ilmoittaisi tarjolla olevista päivityksistä käyttäjälle. Yritysten kannattaa suunnitella ja toteuttaa tietojärjestelmänsä niin, että ne ilmoittavat itse päivitystarpeesta.

3. Salli vain tarpeelliset toiminnot

IoT-laitteissa voi olla erilaisia toimintoja oletuksena päällä käytön helpottamiseksi. Jää käyttäjän vastuulle ottaa omalta kannalta turhat toiminnot pois päältä. Tämä pitäisi olla toisin päin.

Kuten esimerkiksi palomuurisääntöjä tehtäessä, kannattaa ensin estää kaikki yhteydet ja avata sitten vain tarpeelliset yhteydet. Tämä ilmeni hyvin järjestelmäkamerassa, jossa portit avattiin tarpeen perusteella. Reitittimissä oli turhaan peruskäytön kannalta tarpeettomia toimintoja päällä. Lisäksi uudemmassa reitittimessä oli kaksi avointa porttia, joiden tarkoitus jäi epäselväksi. Porttien tarkoitus pitäisi tietää tai ne tulisi saada suljettua, ennen kuin laite otetaan käyttöön.

Blu-ray soittimen ja järjestelmäkameran kaikki verkkotoiminnot eivät olleet käytössä, koska tuorein käyttöjärjestelmäversio ei ollut asennettuna. Tämä on yksi tapa rajoittaa laitteeseen kohdistuvia hyökkäyksiä. Ei päästetä laitetta täydellisesti verkkoon, jos tuorein ohjelmistoversio ei ole asennettuna.

4. Suojaamaton yhteys on tietoinen valinta

Reitittimien hallintapaneelit oli asetettu toimimaan suojaamattomien yhteyksien kautta. Lähtökohtaisesti olisi järkevämpää asettaa suojattu yhteys oletuksena päälle, jolloin käyttäjä joutuisi ottamaan tietoisen riskin suojausasetuksia muuttaessaan.

+1 Extravinkki

Yhden laitteen verkkotoiminto hajosi kokonaan, kun laitteeseen kohdisti tietyntyyppisen skannauksen. Uudelleenkäynnistys korjasi vian. IoT-laitteiden ja muiden järjestelmien pitäisi hyväksyä vain sovitut yhteydet ja olla reagoimatta muihin yhteyksiin. Pelkkä porttien kolkuttelu ei saisi aiheuttaa laitteen epävakaata toimintaa.

Tietojen luokittelu on tietoturvallisuuden perusta

Tietoaineistojen tai tietojen luokittelu on kokonaisuus, joka auttaa tunnistamaan organisaatiolle tärkeät tiedot ja suojaamaan ne asianmukaisesti eri käyttötilanteissa. Marraskuussa 2016 julkaistu YAMK-opinnäytetyöni ”Kohti tietoaineistojen luokittelua ammattikorkeakoulussa” kokoaa yhteen kattavan tietopaketin aiheesta.

tietoaineistojen luokitteluKuviossa tietoaineistojen luokittelun kokonaisuus hyödyntämiskohteineen.

Pyrin tekemään opinnäytetyön niin, että siitä olisi hyötyä mahdollisimman monelle organisaatiolle. Työ sisältää mm. 9-vaiheisen menetelmän tietoaineistojen luokittelun aloittamiseksi sekä kuvauksia luokiteltujen tietojen hyödyntämiskohteista. Yleisesti ottaen tulokset auttavat luokittelutoiminnan johtamisessa, suunnittelussa ja toteuttamisessa.

Tietoaineistojen luokittelu on olennainen osa tietoriskien hallintaa. Luokittelemalla tiedot julkisuuden perusteella eri kategorioihin voidaan tietoon kohdistuvia riskejä pohtia monipuolisemmin. Esimerkiksi eniten suojausta vaativat tietoaineistot ovat tunnistettavissa helpommin. Opinnäytetyötä tehdessäni käsitykseni siitä, että tietojen luokittelu on olennainen osa organisaation tietoturvallisuuden toteuttamista, vahvistui merkittävästi.

Opinnäytetyö on ladattavissa Theseus-palvelusta tästä linkistä: http://urn.fi/URN:NBN:fi:amk-2016112216800