Kuinka parantaa lähdesuojaa teknisesti? – Tietojen vastaanotosta, hävittämisestä ja säilyttämisestä

Viimeaikoina mediassa  on puhuttanut erityisesti toimittajiin liitetty lähdesuoja, sillä 16.12 julkaistu artikkeli Helsingin Sanomissa johti myöhemmin toimittajan kotiin kohdistettuun kotietsintään.

Useat päätoimittajat ovat syystäkin ihmetelleet tapausta ja sitä pidetään yleisesti uniikkina. Kotietsinnässä takavarikoitiin useita toimittajan käyttämiä tallennusvälineitä ja laitteita.

Tapauksen johdosta julkaisen joitakin hyviä tapoja toimittajien käyttöön, joilla dataa kannattaisi vastaanottaa ja säilyttää. Keskityn pääasiassa tilanteeseen, jossa lähdesuojan alaista tietoa siirrellään sähköisesti.

Lähdesuojan alaisen materiaalin vastaanottaminen

 

Materiaalia kannattaa vastaanottaa sähköpostiin, joka ei ole aktiivisesti työkäytössä tai yleisesti tiedossa tai muuten vain rekisteröity esimerkiksi keskustelualueille tai sosiaalisen median tileihin, mikäli on mahdollista sopia näin materiaalin luovuttajan kanssa. Näin vältetään riski, jossa toimittajan työsähköpostista etsitään salassa pidettäviä tietoja ja mahdollisesti löydetään.

Työlle tarpeettomat tiedot on syytä siirtää pois suojattuun ympäristöön tai hävittää turvallisesti.

Lähdesuojan alaisen tiedon käsittelystä

 

Sähköpostin lisäksi on mahdollista käyttää muita luotettavaksi katsottuja sovelluksia tietojen vaihtamiseen, kuten Signalia. Jotkin toimitukset kuten The Guardian käyttävät myös ns. SecureDropia tietojen vastaanottamiseen.

SecureDrop on avoimen lähdekoodin verkkopohjainen sovellus, jonka avulla esimerkiksi tietovuotoja tekevät kansalaiset voivat vuotaa turvallisemmin tietojaan journalisteille.

Kun tieto on vastaanotettu turvallisesti sitä kannattaa käsitellä niin vähän kuin mahdollista. Virustarkistukset olisi hyvä tehdä esimerkiksi paikallisesti, eikä esimerkiksi verkossa toimivien yhdistelmäskannerien kuten Virustotalin palvelussa.

Virustotal on palvelu, joka kyllä esimerkiksi skannaa vuodetun materiaalin, mutta myös luo tiedostosta ns. tarkistussumman. Virustotal Intelligence -palvelun käyttäjien on mahdollista seurata tiedostojen ilmestymistä palveluun tarkistussumman perusteella ja paikantaa vuodon syntyminen jo ennen edes jutun tekemistä. VirustTotal intelligencea käyttävät useimmiten erilaiset tietoturva-alan tutkijat, jotka myyvät palveluitaan edelleen.

Metadata unohdetaan usein ja yksilöi tietoa

 

Jo ennen julkaisua vuodetusta tai muuten saadusta materiaalista on hyvä poistaa myös mahdollinen dokumentin yksilöivä metadata, erityisesti mikäli aineistoa aiotaan jakaa sellaisenaan eteenpäin.

Metadata sisällyttää esimerkiksi kuvatiedostoissa mahdollisia tietoja kuvan ottohetkestä, GPS-koordinaatteja, sekä lähes poikkeuksetta kameramallin. Office-pohjaisissa dokumenteissa ja PDF-tiedostoissa taas muita yksilöiviä tietoja ovat dokumentin luojaan liittyvät tiedot, kuten nimi ja organisaatio.

Metadatan pyyhkiminen tapahtuu kullekin tiedostotyypille erilaisella tavalla, joten on suositeltavaa perehtyä aiheeseen itse tai kysyä apua työpaikan lähituelta.

Pyyhkimistä ei tietenkään kannata tehdä silloin, kun itse datasta on hyötyä tilanteessa, jossa halutaan saada vihje vaikka dokumentin alkuperästä.

Lähdesuojan alaisen materiaalin säilytys

 

Lähdesuojan alaisen materiaalin säilyttäminen on viisainta toteuttaa niin, että tietoa säilytetään ja käsitellään pääasiassa vain yhdessä paikassa, esimerkiksi työkoneella, joka on kryptattu.

Lähes jokaisessa modernissa käyttöjärjestelmässä on mahdollisuuksia ottaa käyttöön jonkintasoinen vahva salaus koko tallennustilalle. Microsoftissa käytetään useimmiten Bitlockeria, OSX:ssä Filevaultia ja Linuxissa taas on useita vaihtoehtoja salaukseen, joista eräs suosituimpia, että käytännöllisimpiä on “LVM on LUKS”.

Pelkkä kryptaaminen ei kuitenkaan riitä, jos tietokone on esimerkiksi töiden jälkeen lepotilassa tai käynnissä. Käynnissä olevan tietokoneen salaus on siis valmiiksi jo käynnistyessä purettu eikä sellaisesta tietokoneesta tietojen ottaminen ulos vaadi viranomaiselta juuri vaikeita toimenpiteitä.

Itse kryptauksen avaavia salausavaimia ei tule säilyttää muistitikuilla, jotka kytketään tietokoneeseen sen käynnistyessä, sillä muistitikun haltuunottava taho saa näin salauksen auki helposti. Kannattaa siis käyttää pelkästään vahvaa salasanaa, jota ei käytä muissa palveluissa.

Muistitikut voi suojata esimerkiksi VeraCryptillä luotavilla säiliöillä.

Kryptaamisen lisäksi olisi hyödyllistä olisi ottaa salaus käyttöön vain uusille tallennusmedioille, tai varmistua siitä, että ennen salaamattoman kovalevyn pinta pyyhitään riittävän tehokkaasti ennen salauksen käyttöönottoa. Nykypäivänä riittävä määrä ylikirjoituksia vaihtelee 3-7 välillä ennen myyttisen 36 ylikirjoituskerran sijasta.

Tarvittaessa kovalevyjen läpi voi porata ja esimerkiksi levyt voi murskata. Suomessa toimii käsittääkseni ainakin yksi yritys, joka tekee maksusta yrityksille tietojen hävittämistä fyysisesti.

Yksittäisten tiedostojen pyyhkimiseen sopii Windows -pohjaisilla tietokoneilla esimerkiksi Eraser, ja Linux-pohjaissa käyttöjärjestelmissä voi käyttää esim. shred -työkalua.

Kokonaisten kiintolevyjen pyyhkimisessä voi käyttää taas esim. Active Killdiskia tai ilmasta “Darik’s Boot and Nukea“, joka käynnistetään muistitikulta kirjoittamaan kiintolevyjen päälle useita kertoja.

Mitä tehdä, jos kone aiotaan viedä kädestä?

 

Mikäli haluaa kiiltävän foliohatun, voi käyttää ns. tappokytkintä joka monitoroi tietokoneeseen liitettäviä USB-laitteita. USB-laitteen poiskytkentä käynnistää sovelluksessa sarjan komentoja, jotka sammuttavat tietokoneen lähes välittömästi, jolloin tietojen salaus menee jälleen päälle.

Oikein kiiltävän foliohatun saa sitomalla USB-tikun esimerkiksi narulla ranteeseen, jolloin hätätilanteessa tikun saa irti kättä liikauttamalla. Sovellus toimii ainakin OSX:ssä ja Linux-pohjaisissa käyttöjärjestelmissä tietyin edellytyksin. Windows-pohjaisille käyttöjärjestelmille on saatavissa varmasti vastaavia ratkaisuja, ja ellei ole niin idea on yksinkertainen toteuttaa.

Lähdesuoja hallinnollisella tasolla

 

Organisaatioissa kannattaisi panostaa koulutukseen niin, että työntekijöillä on riittävät taidot toteuttaa lähdesuojaa myös teknisesti. Helpointa on siis luoda prosesseja eli hyviä tapoja, joita noudatetaan rutiinimaisesti.

Mitä muuta kannattaa huomioida?

 

Lähdesuoja ei ole tärkein osa toimittajan työstä ja verkon selaaminen ei voi olla koskaan liian turvallista, eikä levyjen salaus tai tietojen turvallinen hävitys takaa sitä, että jokin haitallinen tieto ei vuotaisi ulos organisaatiosta.

Journalistien tulisi kiinnittää yhä etenevissä määrin huomiota vihakampanjoihin niin, että esimerkiksi artikkelin julkaisevasta toimittajasta on mahdollisimman vähän avointa dataa verkossa.

Nämäkään eivät ole riittäviä keinoja opsec-toimina, vaan opsec-toimien käsittely vaatisi kokonaan oman artikkelinsa. Hyvät toimintatavat eivät ole mikään este vihapuhekampanjoille muutenkaan.

Tiettyjen artikkelien julkaisematta jättäminen vihapuheen pelossa ei siis ole ratkaisu, vaan ratkaisu on minimoida sellaisten tietojen saatavuus, millä journalistin työtä voidaan häiritä, kuten asuinpaikan paljastavat tiedot ja puhelinnumerot.

EFF on yleisesti pätevä tietolähde tietoturvasta ja tietosuojasta kiinnostuneille henkilöille, sekä mielestäni tämä lista Githubissa tarjoaa kattavan paketin työkaluja erityisesti yksityisyydestään kiinnostuneille ihmisille.

Leave a Reply

Your email address will not be published. Required fields are marked *