Kirjoittaja Aihe: Koneen fyysinen turvallisuus  (Luettu 2928 kertaa)

ajaaskel

  • Palvelimen ylläpitäjä
  • Käyttäjä
  • Viestejä: 3394
    • Profiili
Koneen fyysinen turvallisuus
« : 27.03.13 - klo:10.09 »
Lainaus
Ei tarvi nähdä vaivaa/hupia  edes murtautumisesta.

Helpoin tie tietovarkaalle on päästä suoraan käsiksi koneeseen. Tuota vastaan koneen käynnistymisenkin voi suojata salasanalla. Myös Grubin.
Tuo johtaa toiseenkin asiaan:  Koneen fyysinen turvallisuus josta oli juttua jo toisaalla erään firman tietoturvaharjoituksen yhteydessä.  Kriittiset koneet eivät saisi olla "tarjottimella" niin että joku virallisen näköinen kävelee sisään ja kertoo "vievänsä koneen huoltoon".  Tuo koskee lähinnä isompia firmoja missä kaikki eivät tunne kaikkia.  Myös nykyinen avokonttorikulttuuri voi hankaloittaa koneen fyysistä suojaamista: Ovea ei voi laittaa perässän lukkoon kun lähtee kotiin.  
« Viimeksi muokattu: 27.03.13 - klo:10.17 kirjoittanut ajaaskel »
Autamme ilolla ja ilmaiseksi omalla ajallamme.  Ethän vaadi, uhoa tai isottele näin saamasi palvelun johdosta.

JaniAlander

  • Käyttäjä / moderaattori+
  • Viestejä: 2610
    • Profiili
Vs: Koneen fyysinen turvallisuus
« Vastaus #1 : 27.03.13 - klo:11.07 »
Niin no fyysinen turvallisuus on se ensijainen asia, jos se ei ole kunnossa kaikenlainen tietoturva lukuunottamatta ehkä koko levyn kryptausta on turhaa. Ja silloinkin olisi hyvä jos tarkastaa vaikkapa näppäimistön ja koneen välisen liitännän, jottei joku velikulta ole asentanut fyysistä keyloggeria näppäilyjä tallettamaan....

Core i5-4460 3.2ghz 24GB Ram, Nvidia RTX2060 Kubuntu 18.04-64bit FreeBSD 11.0-Release Windows 10 Pro 64-bit Samsung Series 5, AMD A-6 2.1 GHz 4 Gt Ram, Ubuntu 18.04 64-bit.
Lenovo T60 Core2Duo 2GB Ram Ati Mobility Radeon 128 MB Ubuntu Mate 16.04-64bit
Commodore Amiga 500 1MB Ram.

Jallu59

  • Käyttäjä
  • Viestejä: 3430
    • Profiili
Vs: Koneen fyysinen turvallisuus
« Vastaus #2 : 27.03.13 - klo:14.25 »
Koneelle pääsy tietysti ympäristön mukaan.

Ja taas on paikka muistuttaa varmuuskopioiden ottamisen tärkeydestä. Ja mieluiten varmuuskopio on eri fyysisessä paikassa kuin varmistettava. Konkreettinen case on tulipalo: Jos varmuuskopiot ovat eri fyysisessä paikassa, töiden jatkamiseen tarvitaan vaan uusi kone. Myös jos kiintolevy on kryptattu, sieltä ei saa huonossa tapauksessa mitään ulos ja taas ovat varmuuskopiot arvossaan. Varmuuskopioiden tallennusfrekvenssi (tunneittain, päivittäin,viikottain,...) sitten tehtävän mukaan.

Ystävällisin terveisin

Jallu59
Jari J. Lehtinen, Wanhempi (iki?)tietoteekkari & tietotekniikkakonsultti Turust, P4-HT / 3,0 GHz, Intel945 IGP 226MB & 4GBram & UbuntuStudio 14.04. Toshiba Satellie 50-C, i5 dual-core 2,3GHz, ubuntu-mate 16.04 LTS

2-mieli-FI-poliisi

  • Vieras
Vs: Koneen fyysinen turvallisuus
« Vastaus #3 : 28.03.13 - klo:22.24 »
Toimiikohan tällainen köyhän miehen ja yhden koneen back-up suunnitelma?

1) Asennan *buntun kryptattuna kiintolevyn erillisille root ja home osioille.
2) Asennan *buntun kryptattuna usb-tikun roottiin.
3) Molemmissa asennuksissa käytän identtistä asennusmediaa, käyttäjätietoa ja salasanaa.

Saanko usb-tikulta bootattuani käyttööni myös kiintolevyllä olevat osiot, vai arpooko salattu asennus avaimen sekaan myös satunnaistekijöitä, jotka eivät liity 3). kohtaan.  ???

qwertyy

  • Käyttäjä
  • Viestejä: 4774
    • Profiili
Vs: Koneen fyysinen turvallisuus
« Vastaus #4 : 28.03.13 - klo:23.19 »
Saanko usb-tikulta bootattuani käyttööni myös kiintolevyllä olevat osiot
Asennuksessa kryptauksen jälkeen annetaan salausavain näkyviin. Se pitää tietenkin tietää jos liittää kryptattuja osioita.

Sami Lehtinen

  • Käyttäjä
  • Viestejä: 732
  • Techie
    • Profiili
    • Sami Lehtinen
Vs: Koneen fyysinen turvallisuus
« Vastaus #5 : 04.05.13 - klo:19.21 »
Toimiikohan tällainen köyhän miehen ja yhden koneen back-up suunnitelma?

Kannattaa ajaa eri avaimilla backupit ja eri järjestelmään. Paras tapa. Tällöin sen pääjärjestelmän avaimia ei tarvitse edes tietää, kun data voidaan tarpeen vaatiessa palauttaa backupista.

Näin mä olen ainakin hoitanut homman. Samalla saavutetaan se hyöty, että vaikka itse backupit vuotaisi, nekin on käyttökelvottomia, koska kohde backup-järjestelmä ei tiedä salausavaimia.

Mun blogissa on tarkemmat teidot off-site ratkaisuista joita käytän.

odysseus

  • Käyttäjä
  • Viestejä: 367
    • Profiili
Vs: Koneen fyysinen turvallisuus
« Vastaus #6 : 07.05.13 - klo:11.29 »
Näissä seikoissa tullaan nimenomaan sellaisten asioiden eteen kuin "tietoturvapolitiikka". Suurissa firmoissa tämä on käytäntöä (ainakin pitäisi olla!) ja pienissäkin yrityksissä se olisi suositeltavaa.

Usein näissä turvakysymyksissä katsotaan vain sitä rautaa ja tekniikkaa, salausta jne.

Tietoturva on kuitenkin paljon laajempi käsite ja olennaisena osana teknisen turvallisuuden lisäksi siihen liittyy esimerkiksi myös:
-fyysinen turvallisuus
-hallinnollinen turvallisuus (koulutus ja ajattelutapa sekä toimintamallit ja määräykset)

...ja paljon paljon muuta!

Itse pidän yrityksille tietoturvakoulutuksia ja teen tietoturvapolitiikan auditointeja jne. Valitettavasti usein yrityksissä se politiikka on kansiin kirjattu, mutta KUN yleensä tärkeimpänä asiana nähdään se, että politiikka on yrityksen halituksen hyväksymä ja toimitusjohtajan allekirjoittama, ei siitä raamatusta ole paljon apua. Harvassa yrityksessä politiikka deploydaan alemmalle tasolle koulutuksen muodossa.

Tietoturva on yksinkertaisesti AJATTELUTAPA. Kun alat ajatella asioita, ennakoit niitä ja ennakoiminen johtaa automaattisesti malliin, joka suojelee tietoja monin tavoin. Asioiden ennakointi johtaa myös suunnitelmallisuuteen, joka auttaa sitten niiden teknisten ratkaisujen toteuttamisessa.

Ainakin nyt näitä asioita kannattaa miettiä ja varmistaa pienissäkin yrityksissä ja jopa kotona:

1. Tietokoneen ohjelmistopäivitykset ovat automaattisesti päällä tai niitä hallitaan asianmukaisesti.
2. Virustorjunta ja tietokoneen/verkon palomuuriratkaisu ovat ajan tasalla.
3. Tietokoneesi on salasanalla suojattu ja käyttäjillä on omat käyttäjätunnuksensa.
4. Olet varautunut laiterikkoihin ja koneen toimimattomuuteen varmuuskopioimalla tietosi.
5. Varmuuskopiosi ovat turvakaapissa ja myös turvassa toisessa osoitteessa.
6. Arkaluontoinen tieto sekä tietoliikenne ovat salattuja.
7. Verkossa olevat tietosi ovat “hyvissä käsissä”.
8. Internetissä ei paljasteta sinusta ja yrityksestäsi liikaa.
9. Tiedot (tiedostot) ovat luettavissa nykyisillä ohjelmillasi.
10. Tietokoneesi (etenkin kannettavan), puhelimesi ja muistitikkusi varastaminen ei tuhoa liiketoimintaasi
eikä tietoja joudu vääriin käsiin!
11. Toimit tiedon varastoinnissa lakien ja asetusten mukaan.
12. Tietoa pystyy tarvittaessa käsittelemään myös joku toinen luotettu henkilö.
13. Yrityksessäsi on erikseen mietitty ja päätetty tietoturvapolitiikasta ja sen noudattamisesta.
14. Yrityksesi henkilökunta on saanut tietoturvakoulutuksen ja osaa toimia yrityksessä
vaadittavalla tavalla!

Sami Lehtinen

  • Käyttäjä
  • Viestejä: 732
  • Techie
    • Profiili
    • Sami Lehtinen
Vs: Koneen fyysinen turvallisuus
« Vastaus #7 : 07.05.13 - klo:19.38 »
auditointeja jne.

Tarkistatteko asiat oikeasti auditoinnissa, vai esitättekö muutaman kysymyksen joihin valehtelu on triviaalia kun tiedetään mitä kysyjä haluaa kuulla. Auditointia varten voi tehdä paperit jotka näyttää sairaan hienolta, sekä siihen hommataan tyyppi joka osaa tehdä hienot paperit. Mutta viitsitäänkö sille tyypille koskaan maksaa siitä, että tehtäisiin jotain oikeita käytännöntoimenpiteitä? No eipä tietenkään.

Todellisuudella ja teorialla kun on valovuosien mittainen ero.  Todellisuudesssa tietoturva on jotain hävettävän katastrofaalisen huonoa. Teoriassa se on hieno juttu, mutta käytännössä ongelmia ja huonosti hoidettuja asioita on niin monessa layerissa päällekkäin, että kokonaisuuden läpäisy on täysin triviaalia.

En vielä ehtinyt bloggaamaan sitä, mutta eräässä paikassa oli mm. hankittu kymmenien tuhansien eurojen lukitusjärjestelmä. Mutta lukitusjärjestelmän konfigit oli pielessä, mikä tahansa avain avasi minkä tahansa oven. Joten onko tuossa sitten mitään järkeä maksaa järjestelmistä noin paljon? Onhan se tietysti hienoa kun on state of the art digital locking system.

Ihan sama pätee valitettavasti myös palomuureihin. Ensin hankitaan hemmetin hienot järjestelmät, sitten kukaan ei jaksa eikä osaa ylläpitää niitä, ja se onkin sitten suurin piirtein siinä se. Vielä joku fiksu kääntää jonkun UPnP:n päälle. Sitten voi suorastaan nauraa sille että joku on upottanut 20 000 euroa tietoturvaratkaisuihin jotka ovat käytännössä hyödyttömät ja kenen tahansa edes marginaalisesti asiaan perehtyneen kierrettävissä mennen tullen.

Nimimerkillä, eräässä paikassa huomautin siitä, että niiden etähallinta oli auki kaikille koneille, eikä vaatinut missään vaiheessa salasanoja. Tietohallintopäällikkö totesi tähän, että etähallinta on toiminut hyvin. Mulla ei ollut enää mitään sanottavaa sille tyypille koskaan. Jokainen voi varmaan arvata mitä mieltä olin sen jäbän kompentessista. Joo, toimii hyvin, kaikki ok. ;)

Mulla on kokemusta satojen yritysten ratkaisuista, muutamia isommista pörssiyrityksiä ja julkisensektorin firmoja lukuunottamatta tilanne on pääsääntöisesti katastrofaalisen huono kaikilla mittareilla mitattuna.

Pelkällä social engineeringillä pääsee monessa paikassa aivan uskomattoman pitkälle, kun vaan pokka pitää. Joskus tulee ihan hyvikseen testattua, kun on kerran oikealla asialla, että miten pitkälle pääsee, osoittamatta sitä oikeutusta millään tavalla. Parhaimmillaan koneet saa hakea pois firmoista, eikä kukaan kysy yhtään mitään missään vaiheessa. Salasanat annetaan kiltisti paperilla järjestelmiin, mukaan lukien domain adminit jne. Mutta joo, perussettiä, kaikille jotka näitä hommia joskus on tehneet. Sitten taas joskus vedetään ihan toiseen laitaan, pitää maksaa tuhansia euroja erikoissertifioitujen salausohjelmistojen lisensseistä, vaikka tietoa siirretään vaan tiukasti valvotussa sisäverkossa. Kultainen keskitie kulkee siinä jossain.

Pariltakin operaattorilta on tullut muuten tongittua puhelimessa mm. domainin hallintaan oikeuttavat tunnukset epäsuorasti asiakasta varten, ilman mitään konkreettisia todisteita.

Voisi ottaa oikein huvikseen kampanjan jossa selvittäisi monta domainia saa kaapattua suomessa, kun soittelis prepaidista eri palveluntarjoajien helpparit läpi ja jauhais vakuuttavaa tuubaa niille. Tämä siis kaikkien edun vuoksi, voisi ohjata kävijät jollekkin semi-hauskalle, mutta harmittomalle sivulle.
« Viimeksi muokattu: 11.05.13 - klo:12.15 kirjoittanut Sami Lehtinen »

odysseus

  • Käyttäjä
  • Viestejä: 367
    • Profiili
Vs: Koneen fyysinen turvallisuus
« Vastaus #8 : 21.05.13 - klo:17.17 »
auditointeja jne.
Tarkistatteko asiat oikeasti auditoinnissa...

Me tarkistamme jos voimme. Asiahan riippuu aina asiakasyrityksestä, eli jos ei anneta tarkistaa, niin sitten ei tarkisteta. Suosittelemme aina avointa lähestymistä. Välillä auditoinnin teettäjä on eri taho kuin tarkistettava yritys/taho, joten silloin taas tullaan siihen, että "mitä tilaaja vaatii" eikä "mitä asiakas voi peitellä"..

Todellisuudella ja teorialla kun on valovuosien mittainen ero.

Juurikin näin. Jo se, että ylipäätään auditoidaan on jo askel eteenpäin. :-)

Ihan sama pätee valitettavasti myös palomuureihin.

Usein on kuitenkin niin, että ne tekniset ratkaisut ovat olemassa ja jopa yllättävän hyvissä säädöissä itse siellä yrityksen sisällä. Pahinta on se, että henkilökunta tekee mitä huvittaa ja kaikki muu vuotaa kuin seula. Kannettavat ja puhelimet ja USB-tikut jne kulkevat ovista ja ikkunoista ilman salausta vaikka minne varastettavaksi ja unodettavaksi jne. Sähköpostien salausta ei ole olemassakaan ja samalla sillä USB-drivella tökitään kaverin koneessa ja muualla ja sitten saadaan pöpöt ojmaan koneeseen jne.. Väliin käydään FB:ssä kertomassa muutama yrityssalaisuus ja ilmoitetaan, että koko firma on lomalla heinäkuussa, Tervetuloa varkaat yms.