|
Microsoft on hehkuttanut Windows Vistan olevan sen luomista käyttöjärjestelmistä tietoturvallisin. Vistassa on useita kokonaistietoturvallisuutta parantavia tekijöitä (käyttäjätilien valvonta, Internet Explorer 7, BitLocker-kiintolevyn salaus). Valitettavasti Microsoft on tiedostamattaan tehnyt Vistasta myös maailman helppokäyttöisimmän ja yleisimmän tietomurto-ohjelmiston! Vistan avulla voidaan murtautua paitsi Windows Vista -tietokoneisiin myös esimerkiksi Windows XP -työasemiin ja Windows 200x -palvelimiin. Kuinka tämä on mahdollista ja kuinka voit suojautua tätä Windows-käyttöjärjestelmien merkittävimpiin kuuluvaa "tietoturva-ominaisuutta" vastaan? Kuinka löysin tämän "tietoturva ominaisuuden"? Mistä tässä ongelmassa / ominaisuudessa on kyse? Kuinka tätä ominaisuutta vastaan voidaan suojautua? |
Kuinka tätä ominaisuutta vastaan voidaan suojautua? |
|
Tämä on tämän kohdan ehdottomasti tärkein kohta! Onneksi tätä ongelmaominaisuutta vastaan on
mahdollisuus suojautua; kotikoneessa kohtalaisen pienellä työllä ja organisaatioissakin "adidas-työllä". Voi suojautua kolmella eri tavalla: a) Tietokoneen käynnistysjärjestyksen muuttaminen -helpoin tapa, joka on myös helppo ohittaa Ensimmäinen ja helpoin tapa suojautua on tarkistaa ja muuttaa tietokoneen käynnistysjärjestystä (boot order). Keskeinen tietoturvaongelman käyttöedellytys on se, että tietokone pitää voida käynnistää asennusmedialta, joka voi olla lähinnä dvd/cd-levy tai usb-muisti. Tietokoneen bios-asetuksista muutetaan tietokoneen käynnistysjärjestystä siten, että tietokone käynnistyy aina oletuksena ensimmäiseksi tietokoneen kiintolevyltä. Samassa yhteydessä kun tietokoneen käynnistysjärjestystä muutetaan, tietokoneen bios-asetuksia varten täytyy asettaa salasana. Tämän ansiosta väärinkäyttäjä ei pääse muuttamaan käynnistysjärjestysasetusta takaisin, mikä mahdollistaisi tietokoneen käynnistämisen asennusmedialta. Käynnistysjärjestys muutetaan siten, että ensin siirrytään tietokoneen bios-muistiin tietokoneen käynnistyksen yhteydessä kerrottavalla tietokonekohtaisella näppäinyhdistelmällä. Bios-muistista haetaan asetus, jolla tietokoneen käynnistysjärjestystä muutetaan. Mikäli asetusta ei ole oletuksesta muutettu, saattaa nykyinen järjestys olla esimerkiksi: A:-asema eli Floppy disk cd/dvd-asema (cd/dvd-drive) USB-väylä (usb) C:-asema eli kiintolevy (hard disk) lähiverkko (network boot / pxe boot) Tällaisessa tapauksessa järjestystä tulee muuttaa siten, että ensimmäiseksi tulee kiintolevy: C:-asema eli kiintolevy (hard disk) A:-asema eli Floppy disk lähiverkko (network boot / pxe boot) cd/dvd-asema (cd/dvd-drive) USB-väylä (usb) Erityisesti organisaatioissa täytyy huolellisesti miettiä se, millainen bios-salasana tietokoneisiin sijoitetaan ja kenelle kyseinen salasana kerrotaan. Tietokoneen peruskäyttäjä ei tätä salasanaa tarvitse, joten salasana jää pelkästään organisaation IT-tuen toiminnasta vastaavien tietoisuuteen. Normaalisti bios-asetuksia joudutaan jatkossa muuttamaan vain niissä tapauksissa, joissa tietokone pitää esimerkiksi ongelmanselvityksen takia käynnistää kiintolevyn sijaan usb-muistilta tai cd/dvd-levyltä. b) Tietokoneen kiintolevyjen salakirjoitus - suositeltavin korjaustapa Toinen tapa, joka suojelee automaattisesti jo osaa organisaatioissa olevia, etenkin kannettavia tietokoneita, on kiintolevyjen salakirjoitustoiminto. Vaikka tietokone saataisiin käynnistettyä asennusmedialta, komentokehotetasoon pääsystä ei ole vastaavaa hyötyä, mikäli tietokoneen kiintolevy on salakirjoitettu. Kiintolevyn salaus onnistuu Vistaa edeltäviin tietokoneisiin ainoastaan kaupallisilla tuotteilla ja Windows Vistassa ainoastaan BitLocker-tekniikalla Vista Enterprise- ja Vista Business -versioissa. Se, miksi suosittelen ehdottomasti tätä kohtaa johtuu siitä, että tietokoneen bios-muistiin liittyvät salasanat on mahdollista yrittää sopivilla keinoilla kiertää. Bios-salasanoihin liittyy lisäksi se vaara, että jos ja kun organisaation kaikki tietokoneet varustetaan samalla bios-salasanalla ja salasana jostain syystä paljastuu, vaarantaa se heti kaikkien tietokoneiden turvallisuuden. Valitettavasti nykyisten bios-muistien hallinta ei onnistu keskitetysti, mutta tulevaisuudessa uusi EFI (Unified Extensible Firmware Interface ) saattaa korjata tilannetta, mutta tähän hätään siitä ei ole vielä apua. c) EFS-salakirjoitus - vain pientä lisäturvaa Kolmas, ei aivan niin kattava ratkaisu kuin edelliset on se, että otat käyttöön kansiotasolla käytettävissä olevan EFS-salakirjoitustoiminnon (Encrypting Files System) keskeisimpiin tiedostoihisi. Tämä tapahtuu hiiren kakkospainikkeella kansion ominaisuuksista Yleiset | Lisäasetukset | Suojaa tiedot salaamalla sisältö. Tätä ratkaisua en kuitenkaan suosittele sen takia, että mahdollinen väärinkäyttäjä pääsee tietokoneeseen kuitenkin kiinni ja tekemään muita ominaisuuden tarjoamia mahdollisuuksia, sen sijaan tämä on hyvä lisäturva esimerkiksi bios-suojauksen ohella. |
Yleistä pohdintaa ongelmaan liittyen Miten tällainen ongelma on päässyt syntymään? Microsoft on todennut, että ominaisuus on haluttu Vistaan helpottamaan ongelmanratkaisua ja helpdesk-toimintojen yhteistyötä, koska käyttäjällä ei tarvitse olla selvillä tietokoneen paikallisen järjestelmänvalvojan salasanaa. Oli syy mikä tahansa, näin laajaa ongelmaa ei olisi saatu aikaan, jos toiminnallisuus olisi rajattu koskemaan ainoastaan Windows Vista -käyttöjärjestelmää. Nyt se toimii myös Windows XP/200x - käyttöjärjestelmissä. Toinen virhe on tehty siinä, että ongelmaominaisuuden käyttäminen ei edellytä minkäänlaista käyttäjätunnistusta eikä salasanakäytäntöä. Microsoft on perustellut tätä sillä, että erilaisten ongelmatilanteiden selvittely on helpompaa, kun tuotteeseen on tehty tietoisesti tällainen myös edellisten Windows-käyttöjärjestelmien tietoturvaa heikentävä ominaisuus. Toivon olevani väärässä, mutta epäilen, että tämän ominaisuuden kaikkia vaikutuksia ei ole kaikesta huolimatta harkittu tai tiedostettu kokonaisuudessaan. Toisaalta, netti on täynnä apuohjelmia ja videoita siitä, miten eri Windows-järjestelmiin murtaudutaan, joten tämä esittämäni hyvin helppokäyttöinen tapa on vain ns. "pisara meressä". Esimerkki -kuinka tämä ominaisuus toimii? Tässä linkissä on kuvasarja, jossa osoitan tämän ongelman "toimivuuden" eli eräänlaisen proof-of-concept- esimerkin siitä, miten tätä tietoturvaominaisuutta voidaan väärinkäyttää. |
|