Thomas

Thomas

The author works at and owns Mint Security, a mean and lean security company founded in 2015. No fuzz (literally - we do not fuzz, there are companies better equipped to do that).
Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp

Tapahtui eräänä perjantaina, että Windows 10 suoritti poikkeuksellisesti BSOD-rituaalin. BSOD on Blue Screen of Death – ruutu jonka jonnet ei muista, mutta joka tuli hyvin tutuksi alkaen Windows NT 3.51 ajoilta todennäköisyyden harventuen uusimpien Windowsin myötä. 

Kuinka BSOD palasi elämääni

Tänäkään päivänä en suhtaudu BSOD:hen kovin vakavasti. Normaalisti syynä on jonkinlainen ongelma kytketyssä raudassa ja sen ajureissa – itselläni on telakka ja telakassa kiinni pari levyä sekä hifistely-DAC ja vähän muuta. Peruskäyttäjä pelkällä läppärillä ei käytännössä koe BSOD:ta koskaan. Kuitenkin – jos tulee BSOD niin kone käynnistyy uudestaan, ja ongelma ehkä toistuu parin vuoden sisään – mutta useimmiten ei, sillä ajurit päivittyy ja ongelmia korjataan. Suurin haitta on yleensä kertaluontoinen hitaampi käynnistyminen, kun levyä tarkistetaan virheiltä.

Jatkuvuus - osa 1

Mikään PC:n ongelma ei saisi vaikuttaa mihinkään työntekoon. Tiedostot on pilvessä – O365 Sharepoint ja Outlook. Salasanat on pilvipohjaisessa salasanahallintajärjestelmässä. Valokuvat dropboxissa. Chromen tabit synkkautuu Googlen kautta kaikkiin selaimiin kunhan kirjaudut (näitä tabeja on helposti 100 ja konsultille tabien jatkuvuus on elinehto). Slackiin pääsee kiinni selaimella – kuten melkein kaikkeen muuhunkin. PC on siis tyhmä rauta, jonka voi korvata uudella suoraan kaupasta.

Käytännössä ainoa mitä pitäisi tarvita on varakone, joka käynnistetään säännöllisin väliajoin jotta varmistutaan ettei se ole leikannut kiinni. Tällainen minulla oli, ja sillä pääsin kiinni kaikkiin tämän mainitun perjantain palavereihin ja esityksiin, joita oli tarkoitus pitää. Livedemot jouduin kuitenkin unohtamaan, sillä tietyt erikoistyökalut oli vain primäärikoneellani.

Mutta kun käytännössä käyttäjät – kuten minäkin – olemme tolloja, ja viimeisen viikon kahden aikana on kuitenkin jotain joka on sillä koneella. Koneella jota ei enää saa käyntiin.

Minun tapauksessani ongelma kiteytyi seuraaviin

  • Olin purkanut kamerasta kuvia enkä ollut ihan varma, olinko jo siirtänyt ne paikalliselle verkkolevylle
  • Putty ja WinSCP -profiilini ei varmuuskopioidu mihinkään
  • Notepad++ tabini (noin 100) jossa oli monen viikon työt, oli tallennettuna vain paikallisesti
  • IntelliJ demoineen oli asennettu vain paikallisesti – ei varakoneelle

Automaattinen korjaus ei korjaa!

Tänä eräänä perjantaina kohtasin uuden tuttavuuden – Windowsin diagnostiikka ja repair-fix -kokonaisuuden. Uudelleenkäynnistys kerta toisensa jälkeen epäonnistui. Kävin loppujen lopuksi läpi repair-osuuden kaikki vaihtoehdot siihen asti että valitsin uudelleenasennuksen tuhoamatta tietoja. Sekään ei tehnyt mitään, vaan palautti minut surkeaan tilaan. Alla näkyvät siniset ruudut kaikkine vaihtoehtoineen tulivat tutuiksi. Joka välissä bootattiin ja odoteltiin. Mikään ei auttanut. Tunteja meni, ja epätoivo kasvoi. Onneksi oli viikonloppu edessä ja viikonloppuöisin ei ole kuitenkaan muuta tekemistä kuin tunkata tietokoneita. 

Päätös: tietoihin on pakko päästä käsiksi

Tässä vaiheessa oli jo kaikki vaiheet, pelko, kieltäminen – kaikki, käyty läpi. Jotenkinhan tämä oli selätettävä. Tottakai. Olen aikaisemmin käyttänyt Linxien LiveCD:tä joten epäilemättä tässä olisi ratkaisu. Ja sen on oltava helppoa, sillä Linuxit kehittyy, työkalut kehittyy – ja joku muu on jo ratkaissut nämä ongelmat ennen minua.

Syystä ja toisesta olen itse valinnut LXLE-Linuxin pitääkseni vanhoja Lenovojani hengissä  joten se oli luonnollinen vaihtoehto tässäkin. LXLE on Debian (eli jonneille ”Ubuntu”) – mutta hyvin kevyt sellainen. Se toimii, mutta ei sisällä mitään turhaa. Vanhat Lenovot jaksaa

Jatkuvuus - osa 2

On turha kuvitella, että tässä pärjää pelkällä Googlella. Varaudu siis että tarvitset ainakin seuraavanlaista.

  • Varakone – jotta loput päivän palaverit saadaan pidettyä – ja pääset sähköposteihin
  • Ulkoinen DVD-asema – jotta voit polttaa varakoneella uusimman Linux LiveCD:n (ja myöhemmin sen Windows 10 asennuslevyn jota sinulla ei ole)
  • Kolme tyhjää DVD-levyä (sössit kuitenkin yhden poltto-operaation kun et ole polttanut DVD:tä moneen vuoteen – tai koskaan)
  • USB-muisti tai tikku – joka on tarpeeksi iso, jotta voit pelastaa tietoja sille
  • Jokin työkalu, jolla saat salasanahallintajärjestelmäsi auki (puhelin johon tämä on synkattu – tai varakone jolla saat salasanahallintajärjestelmän master-salasanallasi auki)

Varautuminen on siis ihan konkreettista varautumista, ei prosessikuvia tai auditointiraportteja. Jos olet it-tuki, sinulla pitää olla nämä työkalut. Jos olet yrittäjä, kannat itse kaiken vastuun. Jos olet etätyöntekijä – niin, silloin tämä onkin hyvä kysymys. 

Tietoturva onkin jatkuvuuden vihollinen?

Kun Live Linux on käynnissä on paljon työtä edessä. Ensimmäinen asia jonka huomaat, on se,että kiintolevy on kryptattu. Ihan kuten pitääkin tietoturvan näkökulmasta. Kryptaus on tässä tapauksessa Bitlocker – ja se toimii ihan oikeasti. Sitä ei disabloida BIOSista, eikä levyä lueta takavasemmalta Linuxista. 

Jatkuvuus - osa 3

Seuraavaksi tarvitaan jotain, johon on varauduttava etukäteen. Jotain, mitä et saa mistään huoltoliikkeestä. Tarvitset Bitlocker Recovery Keyn. Tämä löytyy kahdesta paikasta – Azure AD;sta (jos olet O365-käyttäjä ja olet koneesi sellaiseen rekisteröinyt asiallisesti ja asianmukaisesti) tai tulostettuna paperilta.

Jatkuvuuteen liittyvä lista siis kasvaa seuraavilla osilla:

  • Admin-tunnus (joka tietenkin on eri, kuin normaali käyttäjätunnus) O365-palveluun – mutta älä luota tähän, vaan varaudu siihen, että tarvitset myös
  • Bitlocker Recovery Key:n paperille tulostettuna

Paperitulosteita ei tietenkään pidetä lojumassa siellä täällä, vaan siellä paljon puhutussa kassakaapissa. Tarvitset siis vielä:

  • Tunnuksen kassakaappiin
Kuvassa näkyvää ruuvimeisseliä ei tässä harjoituksessa käytetty mihinkään. Se missä ja miten pidät kassakaappitunnuksesi, on tietenkin ratkaistava erikseen. Pilvipohjainen salasanahallintajärjestelmä toimii tähänkin – kunhan tiedät salasanahallintajärjestelmän master-avaimen. Toivottavasti ja ehkä olet kuitenkin synkannut tämän puhelimeesi, ja saat salasanasi sitä kautta esille.

Tekninen harjoitus edessä

Olet nyt bootannut Linuxiin ja sinulla on kaikki tarvittavat kilkkeet. Alkaa tekninen harjoitus. Aluksi, tunnistat partition jolle Windows on asennettu. Käynnistä shell ja komenna 

sudo fdisk -l

Lisäksi käynnistä gparted (käynnistysvalikosta). Vertaa kummankin tulostetta ja päättele että /dev/nvme0n1p3 on se kriittinen partitio, jota ollaan tässä pelastamassa.

Siksi että me emme juuri nyt tiedä, mikä versio Windowsista on ollut käytössä, emme voi turvautua suoraan Ubuntun repoista löytyviin työkaluihin. Testatessani, reposta löytyvät työkalut toimi vanhalla (pre 1903) Windowsilla, uudemman Windowsin (Q1/2021) kryptatulla partitiolla työkalu oksensi segmentation faultin. Varaudumme siis pahimpaan, ja käännämme työkalun itse. Näin se sisältää kaikki viimeisimmät kikkakolmoset ja bugikorjaukset.

sudo mkdir /media/mount
sudo mkdir /media/bitlocker

sudo do apt install git
sudo apt install gcc cmake make libfuse-dev libmbedtls-dev ruby-dev

git clone https://github.com/Aorimn/dislocker.git
cd dislocker
cmake .
make
sudo make install

Nyt on käännetty Dislocker-työkalun viimeisin version. Seuraavaksi käytämme sitä – rohkeasti. 

sudo /usr/local/bin/dislocker -r -V /dev/ -p000000-000000-000000-000000-000000-000000 -- /media/bitlocker

Jos tässä vaiheessa ei saada virheilmoitusta – toivottavasti ei – on kryptattu levyosio nyt purettu read-only tilaan. Jos virhe kuitenkin tulee, tarkista ensisijaisesti Recovery Key – siinä voi olla kirjoitusvirheitä. Jos kaikki on ok, on levy luettavassa muodossa. Tässä vaiheessa se on vain ”binäärimöntti”. Mutta olemme voiton puolella. Seuraavaksi avaamme binäärimöntin. Linux-kielellä, mountataan se.

sudo mount -o loop,ro /media/bitlocker/dislocker-file /media/mount/
ls -la /media/mount

Winning. Pystymme listaamaan kryptatun levyosion sisällön!

Helpoin työ on edessä – tiedostojen kopioiminen. Liitetään kiintolevy ja muistitikku ja käynnistetään File Manager – ja kopioidaan tarvittavat tiedostot. Käytännössä pitää ainakin kopioida C:\users\<käyttäjätunnus> – mutta jos olet tallentanut tiedostoja muualle kuin oman profiilisi alle (Desktop, My Documents jne) pitää sinun myös kopioida nämä hakemistot. Muista että olet myös asentamassa Windowsia uudestaan, joten tämä on ainoa mahdollisuus saada tiedostot talteen. Uudelleenasennus tyhjentää kaiken, ihan kaiken.

Kun tiedostot on varmassa tallessa, voidaan rentotua ja viettää vähän vapaa-aikaa. Vielä ei ole maanantai, joten tässä vaiheessa voi esimerkiksi ulkoilla hetken.

Lopputyöt

Windowsin asentaminen uudestaan edellyttää, että on käytössä asennusmedia. Sen saa ladata Microsoftin sivuilta – ISO-image löytyy laillisesti ladattavana helpoiten hakukoneella hakemalla. Käytännössä lataat ”lataustyökalun”, joka lataa sinulle ISO-imagen, jonka voit polttaa (varakoneellasi ja DVD-asemallasi) DVD-levylle. Asentaminen saattaa myös edellyttää, että asennuksen alkuvaiheessa tuhoat olemassa olevat partitiot täysin – itse tein tämän komentokehotteen avulla, mutta muitakin tapoja varmasti on. Voit tietenkin tyhjentää levyn Linux-puolella myös. Windows-asennus luo kaiken tarvittavan uudestaan joka tapauksessa.

Palataksemme vielä menetetyksi oletettuun dataan. Tiedostot on helppo kopioida talteen, mutta alussa mainitut Putty ja WinSCP profiilit löytyykin vain Windowsin rekisteristä. Onneksi olemme varmuuskopioneet tässä prosessissa c:\users\<käyttäjätunnus>\NTUSER.DAT -tiedoston. Se on käytännössä ns. Current User -registryhaara. Työkalu tämän avaamiseksi on esimerkiksi Mitec Windows Registry Recovery -työkalu. Sen käyttö on kuvattu täällä: https://superuser.com/questions/1155050/how-to-copy-putty-sessions-from-crashed-computer. 

Jatkuvuus - osa 4

Jatkuvuus (continuity) – ja tässä erityisesti kuvattu palautuminen (disaster recovery) on olennaista. Ei voi eikä pidä olettaa, että kaikki toimii – tai että joku muu voi hoitaa asian. Tässäkin tapauksessa voidaan todeta, että jos Bitlocker Recovery Key ei ole tallessa, ei tilanne pelastu edes (järkevän kokoisella) rahalla.

Pilvipalveluiden järkevä käyttö pelastaa monelta asialta. Viimeksi editoitu Powerpoint on varmassa tallessa – kunhan on jokin varakone, jolla pääsee käyntiin ja jolla siihen pääsee käsiksi. Ja kunhan on salasanat tiedossa. Eli käytännössä, jos katastrofiin ei mitenkään varaudu (salasanojen hallinnan osalta), ei käytännössä edes pilvipalvelu pelasta sitä seuraavaa palaveria tai myyntiesitystä tai asiakaspalaveria.

Kyvykkyydet, erityisesti tekniset sellaiset,  on oltava olemassa. Katastrofin sattuessa ei kuitenkaan pidä vähätellä tilanteen psykologista osuutta. Paine ja aikataulut saattaa olla kovia – kaikki eivät katastrofin sattuessa mieti kuinka aiheesta kirjoitetaan blogi – ja että kaikista vaiheista on otettava valokuvia kyseistä blogia varten. Kun paine on kova, voi tapahtua virheitä. Tässä blogissa kuvatussa prosessissa moni asia voi mennä lopullisesti pieleen ellei pidä päätä kylmänä. Pään kylmänä pitämisessä auttaa dokumentoidut toimintamallit, harjoittelu – ja varautuminen.

Tiedoksi kaikille – minulle tärkein, eli Notepad++ tabien automaattinen varmuuskopiointi, tapahtuu nykyään suoraan Onedrive-synkronoituun hakemistoon.

Thomas

Thomas

The author works at and owns Mint Security, a mean and lean security company founded in 2015. No fuzz (literally - we do not fuzz, there are companies better equipped to do that).
Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp

ota yhteyttä

Pyydä rohkeasti lisätietoa. Vastaamme todennäköisesti nopeammin kuin osasit kuvitella.