Takaisin
Lisätietoa:
Kimmo Rousku
kimmo.rousku@ict-tuki.fi
Päivitetty 21.6.2007:
Ohessa kaksi linkkiä ilmaisiin salakirjoitusohjelmistoihin:
http://www.truecrypt.org/
- open-source ohjelmisto, tukee Windows Vista/XP/2000 and Linux
http://www.ce-infosys.com/english/downloads/free_compusec/index.html
- ei tue vielä Vistaa, muita Windowseja kuitenkin
Ennen kuin otat mitään salakirjoitustuotteita käyttöösi, huolehdi tietokoneella olemassa olevien tiedostojen varmuuskopioinnista! Lue ohjeet ja laitevaatimustiedot todella huolellisesti. Olen itse aikanaan saanut lukittua yhden kannettavan tietokoneen oman mokani takia. Loppuvaiheessa kokeiltuani salasanaa piti odottaa 8 vrk ennen kuin sain yrittää syöttää salasanaa uudelleen - luovutin tuossa vaiheessa koska aikaa oli kulunut jo useampi viikko...
Päivitetty 17.6.2007:
Osaltaan yhteenvetona käydyistä kommenteista ja keskusteluista voisin tiivistää asiat seuraaviin neljään kohtaan:
- tämä ei ole tosiaan mikään *uusi* ominaisuus tai asia, olen itsekin kokeillut 90-luvulla lukuisia eri keinoja Windows NT:n ja
myöhemmin 2000/XP/2003-käyttöjärjestelmien suojausten murtamiseen ja samat teknologiat toimivat tänä päivänä täydennettynä
Línux-puolen työvälineillä.
- sen sijaan tämä on kaikista levinnein ja helpoin tapa murtaa tietoturva ilman sen suurempaa teknistä osaamista tai erikseen
netistä ladattavia apuohjelmia, mikäli käyttäjällä sattuu olemaan Windows Vistan asennusmedia.
- jos joku haluaa tehdä vieläkin helpommaksu murtautumisen, suosittelen tutustumaan Windows PE-käynnistyslevyihin, koska tekemällä
buuttaava Windows PE-usb-muisti, käyttäjän ei tarvitse kuin laittaa usb-muisti asemaan ja odottaa, kunnes cmd-tason komentokehote
putkahtaa esiin. Kaikki mahdolliset oikeudet käytettävissä. Ei edellytä yhtään hiiren tai näppiksen napautusta!
- Kuten alla olevassakin on mainittu, bios-asetukset ovat vain hidaste, ne voidaan murtaa. Valitettavasti osa bioseista on
toteutettu sen verran tietoturvattomasti, että esimerkiksi koneen bios-asetuksista ei voida lainkaan estää käyttäjää valitsemasta
käytettävää buutti-mediaa, vaikka tietokone muuten varustettaisiin bios-salasanalla.
Yhteenveto ja tiivistys:
Jos todella haluat suojata tietokoneesi, huolehdi tietokoneen riittävästä fyysisestä suojauksesta
siten,
että koneen ääreen ei pääse kuin toivotut henkilöt sekä tämän lisäksi: käytä kiintolevyjen salakirjoitusohjelmia!
Aiheeseen liittyviä hyödyllisiä linkkejä:
KB818200 - An attacker with physical access to a computer may be able to access files and other data
http://support.microsoft.com/kb/818200/en-us
- julkaistu 31.5.2007 rev 10.
Reduce Your Risk: 10 Security Rules To Live By
http://www.microsoft.com/technet/technetmag/issues/2006/05/ReduceRisk/
- June 2006 TechNet Magazine / Wes Miller
10 Immutable Laws of Security
http://www.microsoft.com/technet/archive/community/columns/security/essays/10imlaws.mspx?mfr=true
10 Immutable Laws of Security Administration
http://www.microsoft.com/technet/archive/community/columns/security/essays/10salaws.mspx?mfr=true
Tiedote 11.6.2007
Windows Vistan asennus-DVD sisältää merkittävän tietoturvallisuutta
heikentävän ominaisuuden
Olen kuluvan vuoden aikana kirjoittanut kirjan ”Windows Vista – tehoa työskentelyyn” (Docendo) ja samalla
perehtynyt syvällisesti Vista-käyttöjärjestelmään. Kirja julkaistaan nyt kesäkuussa.
Yksi erityisaloistani on jo pitkään ollut tietoturvallisuus. ”Windows Vista – tehoa työskentelyyn” –kirjaa
kirjoittaessani löysin Vista-käyttöjärjestelmästä ominaisuuden, joka mahdollistaa tietomurtautumisen
Windows Vistan mukana seuraavalla asennus-DVD-levyllä niin Windows Vista-tietokoneisiin kuin sitä
edeltäviin Windows XP-työasemiin sekä Windows 2003-palvelimiin. Murtautuminen on mahdollista tehdä
vaivattomasti ilman suurempaa teknistä osaamista.
Havaittuani ko. ominaisuuden otin välittömästi yhteyttä Suomen Microsoftin tietoturvasta vastaaviin tahoihin
ja raportoin tästä löydöstä. Käytyjen keskusteluiden ja tehtyjen tarkistusten perusteella Microsoftin
edustajat totesivat, että ominaisuus on harkitusti sisällytetty Windows Vista-käyttöjärjestelmään ja että
sillä on vaikutusta myös aikaisempien Windows-käyttöjärjestelmien toimintaan. Koska Microsoft ei pidä tätä
tietoturvaa haavoittavana ominaisuutena, siihen ei ole tulossa tietääkseni korjausta.
Nyt on kulunut neljä kuukautta siitä kun otin yhteyttä Microsoftiin, eikä Microsoft ole tähän päivään mennessä
millään tavalla tiedottanut tästä tietoturvaongelmasta asiakkailleen -- asiakkaat eivät toistaiseksi ole voineet
suojautuatältä väärinkäytön mahdollisuudelta. Tämän takia toivon, että kotimaiset IT-julkaisut ja nettipalvelut
tiedottaisivat tästä ongelmasta, jotta etenkin yritykset mutta myös kotikäyttäjät tiedostaisivat tähän ominaisuuteen
liittyvät riskit ja voisivat suojautua sitä vastaan.
Tietoturvaominaisuuden hyödyntäminen tapahtuu käyttämällä Microsoft Windows Vistan asennus-DVD-levyltä
löytyvää Järjestelmän palautusasetukset (System Recovery Options) -toiminnon Komentorivi- (Command prompt)
eli komentokehotetoimintoa. Komentokehote on tarkoitettu edistyneempää vikaselvitystä varten. Tämä
komentokehote -ominaisuus löytyy kaikista Windows Vista-asennusmedioista, mukaan luettuna ominaisuuksiltaan
vaatimattomin Windows Vista Home Basic-versio.
Microsoft Windows-käyttöjärjestelmän edeltävissä versioissa on ollut vastaavanlaisia toimintoja toteutettuna
pelastuskonsolin eli recovery console-toiminnon avulla siten, että pelastuskonsolin käyttö on edellyttänyt aina
paikallisen järjestelmänvalvojatunnuksen ja salasanan tuntemista. Nyt Vistan komentokehote-ominaisuus toimii
ilman mitään käyttäjätunnistusta.
Ongelman tekee erityisen vaaralliseksi se, että komentokehotetasossa toimitaan System- eli järjestelmätason
oikeuksilla, joka sallii lähes kaiken mahdollisen. Mahdollinen väärinkäyttäjä voi esimerkiksi:
- kopioida tiedostoja tietokoneelta usb-levylle tai lähiverkon palvelimille
- luoda uusia, poistaa ja muuttaa tietokoneella olevia tiedostoja
- upottaa tietokoneeseen haitta- tai vakoiluohjelmia
- tuhota tietokoneen sisällön
Em. toiminnot eivät normaalisti jätä jälkiä tietokoneen tapahtumienvalvontalokeihin, joten väärinkäyttöä on hankala todentaa.
Tätä ominaisuutta vastaan on mahdollista suojautua useilla eri keinoilla. Suosittelen vähintään yhtä seuraavista toimenpiteistä:
Tietokoneen bios-asetuksia muutetaan siten, että tietokone ei käynnisty oletuksena miltään muulta apumuistilta
kuin c:-asemalta eli kiintolevyltä. Tällöin asennusmedialta tapahtuva käynnistys ei ole mahdollista. Samassa yhteydessä
bios-asetukset tulee varustaa salasanalla, jotta mahdollinen väärinkäyttäjä ei pääse muuttamaan käynnistysjärjestystä
takaisin haluamakseen.
Toinen keino bios-muistin hyödyntämiseen on käynnistyssalasanan asettaminen, jolloin tietokonetta ei voi käynnistää
kuin sellainen henkilö, joka tietää käynnistyssalasanan. Huomaa: BIOS-asetusten nollaaminen eli resetointi onnistuu
tarvittaessa ammattitaitoiselta henkilöltä hetkessä, jollei muuten, avaamalla tietokoneen kotelo ja tekemällä
tarvittavat ohitukset suoraan tietokoneen emolevyn avulla.
Ylivoimaisesti suositeltavin ja luotettavin keino on tietokoneen kiintolevyn salakirjoitusohjelmiston käyttöönotto.
Tämä auttaa myös siinä tilanteessa, että tietokone tai pelkkä kiintolevy varastetaan, jolloin asentamalla varastettu
kiintolevy toiseen koneeseen saadaan esille vain salakirjoitettua bittimössöä. Suosittelen, että yritykset ottavat
käyttöön kiintolevyn salakirjoitustekniikat kannettavissa ja pöytäkoneissaan viimeistään tämän esimerkin ansiosta.
Valitettavasti vain Windows Vista Enterprise ja Vista Ultimate-versioiden mukana seuraa kiintolevyn salakirjoituksen
mahdollistava BitLocker-ohjelmisto. Muihin Vista-versioihin kuten myös aikaisempiin Windows-käyttöjärjestelmiin pitää
hankkia erillinen kolmannen osapuolen salakirjoitusohjelmisto.
Eräs keino pienentää väärinkäyttöön liittyvää riskiä on salakirjoittaa tietokoneella olevat luottamukselliset tiedostot myös
edeltävien Windows-käyttöjärjestelmien mukana tulevalla EFS-tekniikalla (Encrypting File System). EFS estää salattujen
tiedostojen avaamisen, jos joku yrittää väärinkäyttää tätä komentokehote-ominaisuutta.
Voit käyttää myös Syskey-apuohjelmaa Vista/XP/200x-tietokoneen suojaamiseen käyttöjärjestelmätason salasanalla.
Sillä ei voida estää tämän asennusmedialta tapahtuvan komentokehotteen väärinkäyttöä, mutta sen avulla voit muuten
parantaa tietokoneesi tietoturvallisuutta.
Tähän saakka netistä on ollut mahdollista ladata erikseen lukuisia erilaisia tietomurtautumiseen liittyviä apuohjelmia,
joiden avulla on ollut mahdollista toteuttaa vastaavanlaisia toimintoja, kuin mitä olen yllä kuvannut. Haluan korostaa
erityisesti sitä, että tämän keinon tekee vaaralliseksi sen yleisyys ja helppous. Kuka tahansa, joka saa käsiinsä Vistan
asennus-dvd-levyn tai siitä mukautetun usb-käynnistysmuistitikun, voi väärinkäyttää tätä ominaisuutta.
Toinen asia, jota korostan tässä yhteydessä, on se, että tämä ominaisuus toimii myös muissa kuin Vista-käyttöjärjestelmällä
varustetuissa Windows-käyttöjärjestelmää käyttävissä tietokoneissa.
Olen koonnut tästä ongelmasta tarkemman tietopaketin ”Windows Vista – tehoa työskentelyyn” -kirjan tukisivustolle
suomeksi ja englanniksi osoitteessa http://www.ict-tuki.fi. Sivustolta löytyy myös proof-of-concept -tyyppinen
esimerkki sekä muuta lisätietoa ominaisuuteen liittyen.
Annan mielelläni lisätietoja:
Tietokirjailija Kimmo Rousku
kimmo.rousku@ict-tuki.fi
+358 40 556 7275
Kimmo Rousku on toiminut sivutoimisena IT-kouluttajana, luennoitsijana ja tietokirjailijana vuodesta 1985 lähtien.
Hän on kirjoittanut toistakymmentä IT-alaa käsittelevää teosta sekä satoja lehtiartikkeleita. Hänen luento- ja
koulutustilaisuuksissaan on käynyt yli 12 000 kuulijaa, ja häntä voidaan pitää yhtenä aikamme tunnetuimmista
kotimaisista IT-alan luennoitsijoista. Päätoimisesti Kimmo Rousku toimii Stakesin tietohallinto- ja tietoturvapäällikkönä.
Sitä kautta hän vaikuttaa myös useissa valtionhallinnon tietohallintoa ja tietoturvallisuutta kehittävissä ryhmissä.
