Digikuun blogissa tänään:

Bitcoinit tai digihenki! Voiko pilvipalveluun iskeä kiristäjä?

Kirjoittaja:

Missä datat, siellä uhka.

Myös pilvipalveluihin liittyy erilaisia tietoturvaa uhkaavia vitsauksia. Yksi liiketoiminnan kannalta tuhoisin uhka – ja myös melko yleinen – on kiristyshaittaohjelmat eli ransomware. Aiheesta on keskusteltu jo pitkään useilla foorumeilla, mutta miten tähän uhkaan pitäisi suhtautua pilvipalvelun käyttäjän näkökulmasta? Tai miten palautuminen pilvipalveluun osuneesta hyökkäyksestä ylipäätään on mahdollista? Voiko pienikin organisaatio kiinnostaa ilkeämielisiä toimijoita? Jos nämä kysymykset askarruttavat, ota kuppi käteen ja jatka lukemista. 

Miten se alkaa? 

Kuvittele herääväsi siihen aamuun, kun sinun tai jonkun muun läppäri ilmoittaa aamulla, että kaikki tietosi on kryptattu.  

Miten se alkaa? Mitä jos läppärisi ilmoittaa, että kaikki tietosi on kryptattu:
payment Will be raised on 
5/16/2011 W-.41:55 
Your files will be lost on 
5,Q0/2011 W-.47:55 
C Ontact us 
Wand 20 
Ooops, your files have been encrypted! 
What Happened to My Computer? 
Y our important files are encrypted. 
Many of your documents, photos, videos, databases and other mes are no longer 
a because they have been encrypted. Maybe y o u are busy 100 king for a Way to 
r y but do not waste you time. Nobody can recover files without 
our decryption service. 
Can I Recover My Files? 
We guarantee that you Can recover all your files safely and easily. But you have 
not so enough time. 
Y ou can decrypt some of your files for free. TO' now by clicking 
But if you want to decrypt all your files, you need to pay. 
Y ou only have 3 day S to Submit the payment. that the price Will be doubled. 
Also, ifyou don't pay in 7 days, you won't be able to recover your forever, 
We Will have free events for users Who are so POO r that they couldn 't pay in 6 months. 
How Do 1 pay? 
P a'ment mpted in BitCOin Only. For more information, Click <AbOut bitcain>. 
P leue check the price of Bitcoin and buy some bitcoins. For more information, 
cl ick •:How to buy bitcoins>. 
And send the CO rect amount to the address specified in this Window. 
After dick CCheck Payment>_ Bæt time to ctwck: 9:00m - Il :OOam 
Send S300 worth of bitcoin to this address: 
bitcoin 
HER,- 
Check payment 
peerypt

Kuva: Wikipedia 

Vähitellen alatte huomata, että se ei ollut vain se yksi työasema. Tauti on levinnyt myös laajemmalle. Hyvin pitkälti organisaatiosta, sen IT-infrasta ja hyökkääjästä riippuu, miten tuo tauti leviää ja miten se vaikuttaa. Voin omastakin kokemuksesta kertoa, että se on monin tavoin herättävä kokemus. 😉 

Organisaation sisäverkossa riehuessaan kiristyshaittaohjelma pyrkii tietysti tekemään maksimaalista haittaa niin paikallisten kuin verkkolevyllä olevien tietojen osalta, ja tekee sen juuri niin hyvin, miten hyökkääjä on asian ajatellut. Näiden hyökkäysten alati kasvavaa määrää lisää se, että myös haittatoimijat harrastavat nykyään tuotteistusta sekä palvelumuotoilua, ja verkon pimeistä syövereistä voi mm. ostaa Ransomwarea as a Service -tyyppisesti. Tämän vuoksi pienemmänkään organisaation ei kannata ajatella että “Ei kukaan ole meistä kiinnostunut”, koska hyökkääjä ei ajattele niin. 

Kaikilla organisaatioilla on rahaa vietäväksi. 

Ennen kuin käyttäjälle alkaa tulla epämiellyttäviä viestejä, on hyökkääjä jo päässyt tavalla tai toisella hiipimään jotain kautta sisään. Tapoja on juuri niin monta, kuin hyökkääjällä riittää mielikuvitusta, mutta yleisimmät ovat hyvin yksinkertaisia. Esimerkiksi sähköpostin liitetiedosto tai linkkien kautta ladattava haittasovellus toimii hyvin. Myös erinäisiä julkiseen verkkoon avoimia portteja löytyy edelleen yllättävän paljon, kunhan vain jaksaa yrittää. Jos hyökkääjällä on erityinen kiinnostus tiettyä organisaatiota kohtaan, mahdollisuuksien haitari revähtää moninkertaiseksi, koska silloin kaikki kuviteltavat keinot ovat käytössä. 

“Mepäs ollaan jo pilvessä turvassa!” 

Niin, pilvessä voitte olla, mutta oletteko turvassa?  

Yleisesti voidaan sanoa, että jos käyttäjän tiedostot ovat synkronoituna pilvessä, esimerkiksi OneDrivessa, edellytykset selvitä esim. kiristyshyökkäyksestä ovat olemassa. Jos yrityksen verkkolevyt on siirretty SharePointtiin ja versiointi on käytössä, on silloinkin mahdollisuuksia selvitä. Kaikki alkaa kuitenkin siitä, että eristetään saastuneet työasemat pois verkosta ja siivotaan ne mahdollisuuksien mukaan. Vasta sen jälkeen voidaan alkaa palautua. Seuraavassa on hieman avattu, mitä tämä käytännössä tarkoittaa.  

Huom! Tämä on vain suuntaa antavaa pohdintaa, toimet ja mahdollisuudet kannattaa miettiä etukäteen oman organisaation näkökulmasta. 

Ensitoimet 

On tärkeää, ettei vahinko pahene tai hyökkäyksen jälkeinen tutkinta vaikeudu äkkinäisillä väärillä liikkeillä. Kun lunnasvaatimus on lävähtänyt ruudulle, pitää ko. kone saada ensimmäiseksi eristettyä pois verkosta, ettei haitake leviä tai tee enempää temppujaan synkronoinnin kautta pilveen asti. Tämä pitää tehdä vähintään kaikille saastuneille koneille. Työaseman sammuttaminen voi tuhota kallisarvoisia muistijälkiä, joten sammuttamista kannattaa välttää jos vain mahdollista.  

Jos on syytä epäillä, että haitake on tullut sähköpostin kautta, kannattaa tästä varoittaa kaikkia käyttäjiä pikaisesti. Tarpeen tai mahdollisuuksien mukaan kannattaa myös harkita esimerkiksi tilapäistä sähköpostin käytön estoa, kunnes tilanne on selvitetty. 

Henkilökohtaiset tiedostot OneDrive-palvelussa 

Microsoft on jo hyvä tovi sitten kehittänyt OneDrive-palveluun tiedostojen palautustoiminnon. Tämä toiminto löytyy sekä kuluttajille tarkoitetusta OneDrive-palvelusta että yrityspuolen OneDrive for Business palvelusta. 

Molemmissa palveluissa palautus onnistuu kirjautumalla omaan OneDriveen selaimella, ja etsimällä asetuksista Palauta OneDrive -toiminto. Yrityspuolella tämä löytyy OneDrive for Business portaalista asetusrattaan takaa: 

Henkilökohtaiset tiedostot OneDrive -palvelussa:
Asetukset 
OneDrive 
OneDriven asetukset 
Palauta OneDrive 
x

Voit valita valikosta palautuksen suoraan esim. viikon tai kolme viikkoa taaksepäin tai määrittää mukautetun palautusajankohdan. Käyttöliittymän logiikka on se, että listalta valitaan kaikki ne toimet, jotka halutaan peruuttaa. Eli kun valitset listalta tietyn toimen, se ja kaikki sen jälkeen tapahtuneet toimet peruutetaan, palaten niitä edeltäneeseen hetkeen. Hyökkäyksestä palautumisessa oleellista on tunnistaa missä kohtaa haittatoimet alkoivat, valita listalta vain ne toimet. Kun palautettavat toimet on valittu, palautus käynnistetään Palauta-painikkeella. 

Hyökkäyksestä palautuminen:
Palauta OneDrive 
Jos teet virheen, voit palauttaa OneDriven aiempaan ajankohtaan. Valitse ennalta määritetty päivämäärä tai etsi liukusäätimellä kaavion kohta, jossa on epätavallista toimintaa. 
Valitse sitten muutokset, jotka haluat kumota. 
Vaitse päivämäärä 
Mukautettu päivämäärä ja aika 
Liukusäätimellä voit nopeasti vierittää luettelon haluamasi päivän kohdalle. 
29 
28 
27 
26 
24 
23 
20 
17 
14 
13 
Voit korostaa haluamasi muutoksen ja kaikki sitä edeltäneet muutokset valitsemalla sen alla olevasta luettelosta. Senjälkeen voit kumota kaikki korostetut 
muutokset painamalla Palauta-painiketta. 
9 päivää sitten -17.32021 (3) 
Guest Contributor nimennyt uudelleen 13,3945 
Guest Contributor päivittänyt 13.3945 
Guest Contributor lisännyt 13.3940 
Tiedostonimi

Palautustoiminto mahdollistaa myös palautustoimintojen palauttamisen. “I heard you like restore..” 😉 

Yhteiset tiedostot SharePointissa tai Teamsissa 

Jos yhteisiä tiedostoja SharePointista tai Teamsista on synkronoitu työasemille, haitake voi päästä tärvelemään myös ne.  Tässä kohtaa palautuminen voi mennä pykälää haastavammaksi, jos vahinkoa on tapahtunut laajalti useisiin sivustoihin tai tiimeihin. 

Sivustokohtaisesti on käytettävissä OneDriven kaltainen palautustoiminto, jolla voidaan palauttaa SharePoint sivuston tilanne haluttuun ajankohtaan 30 päivää taaksepäin. Palauta tämä kirjasto -toiminto löytyy asetusrattaan takaa sivustolta: 

Sivustokohtaisesti on käytettävissä OneDriven kaltainen palautustoiminto, jolla voidaan palauttaa SharePoint sivuston tilanne haluttuun ajankohtaan 30 päivää taaksepäin. Palauta tämä kirjasto -toiminto löytyy asetusrattaan takaa sivustolta: 
Asetukset 
SharePoint 
Lisää sivu 
Lisää sovellus 
Sivuston sisältö 
Kirjaston asetukset 
Palauta tämä kirjasta 
Sivustotiedat 
Sivuston käyttöoikeudet 
Sivuston käyttö 
Ulkoasun muuttaminen 
Sivustomallit 
x

Toiminto on varsin kätevä ja auttaa varmasti pahimman yli, kunhan toimet ymmärretään tehdä ajoissa. Jos palautettavaa on paljon, tilanne on ns. sekava tai tuhoa on tehty pitkäjänteisesti ja suunnitelmallisesti, voi tämänkin ominaisuuden kanssa loppua aika kesken. Joskus etenkin vanhempaa tietoa voi päästä katoamaan myös huomaamatta ja pitkän ajan kuluessa pysyvästi.  

Mutta meillähän on säilytyskäytännöt! 

Organisaation laajuiset säilytyskäytännöt, jotka estävät tiedon poistamista, hoitavat kyllä hommansa säilytyksen näkökulmasta. Niiden avulla laajasta ongelmatilanteesta kattavasti palautuminen ei vain ole kovin helppoa, koska niitä ei ole siihen tarkoitettu. 

Pitäisikö harkita varmistuspalvelun käyttöä? 

Yksittäisen käyttäjän virhetoimilta pilvipalvelut suojaavat kyllä kohtalaisen hyvin omilla toiminnoillaan, jos ongelmat havaitaan tietyn ajan sisällä. Toki tässäkin erillinen varmistusratkaisu voi helpottaa ylläpidon työtä löytää ja palauttaa asioita käyttäjän puolesta.

Liiketoiminnan jatkumisen, sekä nopean ja varman palautumisen kannalta erillinen varmistuspalvelu on suositeltava ratkaisu. Vaikka tällä hetkellä valloillaan olevista uhkakuvista pystyttäisiinkin palautumaan pilvipalvelun omin eväin, varautuminen tuntemattomaan on yksi tärkeä näkökulma, jota ei kannata sivuuttaa. Pilvipalvelun omien palautumismenetelmien käyttö myös edellyttää, että pilvipalvelu on ylipäätään olemassa. Entäpä jos ei ole tai sinne ei pääse? 

Jos asiaa kysytään Microsoftilta, vastaus löytyy palveluehdoista: 

Microsoftin palveluehdoista:
Service Availability 
a. The Services, Third-Party Apps and Services, or material or products offered through the Services may be unavailable from time to time, may be offered 
for a limited time, or may vary depending on your region or device. If you change the location associated with your Microsoft account, you may need to re- 
acquire the material or applications that were available to you and paid for in your previous region. 
b. We strive to keep the Services up and running: however, all online services suffer occasional disruptions and outages, and Microsoft is not liable for any 
disruption or loss you may suffer as a result. In the event of an outage: you may not be able to retrieve Your Content or Data that you've stored. We

Lähde: https://www.microsoft.com/en-us/servicesagreement 

Mitä tässä siis pitäisi tehdä? 

Varautua. Ajatella tietoturvaa laajasti, kokonaisuutena. Uhrata hetki mitä jossittelulle, vaikka aihe onkin ikävä. Joskus se saattaa pelastaa pahemmalta.  

Mahdolliset toimet ja työkalut riippuvat mm. siitä, mitä organisaatiossa on käytettävissä ja mitkä toimet ovat liiketoiminnan osalta tehtävissä. Vaikeita, mutta tärkeitä valintoja pitää tehdä nopeasti, ja siksi näitä kannattaa miettiä etukäteen. Jokaisessa organisaatiossa voidaan kuitenkin varautua jotenkin erilaisiin uhkiin ilman suuria investointeja. Monesti pelkkä ajan ja ajatuksen panostaminen riittää alkuun pääsemiseksi.  

Perustasolla pilvipalvelu tarjoaa kohtalaista, mutta ei täyttä suojaa tiedon menettämistä vastaan erilaisissa tilanteissa. Pitää vain varmistaa, että se toimii kuten oletetaan, ja asetukset ovat tältä osin kunnossa. Toimintojen olemassaolo ja niiden käyttäminen on hyvä tiedostaa ja opetella etukäteen, koska rosvosektorin sattuessa kohdalle on yleensä jo sekä kiire että paniikki valloillaan.  

Muuttuvassa maailmassa mikään yksittäinen ratkaisu on harvoin täydellisen riittävä, joten kannattaa miettiä erilaisia skenaarioita ja vaihtoehtoja niiden torjumiseksi ja niistä selviämiseksi hieman pidemmälle. Täydellisyyttä ei tässäkään kannata tavoitella. Tärkeintä on varautua edes jotenkin.  

Pilvikuiskaaja Riku Mustila