Pitkyn syyskokouksessa valkohattuhakkeri Iiro Uusitalo pureutuu tietoturvaan hyökkääjään silmin. Tässä Iiro avaa valkohattuhakkerin maailmaa, kertoo siitä, miten hänestä tuli valkohattuhakkeri ja mitä hän nykyään tekee.

Käytännössä Iiro on tehnyt jo parikymmentä vuotta puolustavaa tietoturvaa. Varsinaisesti homma lähti lentoon 2015, kun hän ja Jarmo Puttonen opiskelivat tietoturvaa TTY:llä ja tutustuivat Bug bounty -mailmaan eli haavoittuvuuspalkinto-ohjelmiin. Näissä isoissa alustoissa yritykset varta vasten ilmoittavat ja pyytävät tutkimaan heidän järjestelmiään. Lisäksi Iiro löysi “vahingossa” liki 100 haavoittuvuutta, joista hän ilmoitti yrityksille. Tähän kului runsaasti aikaa ja usein eivät yritykset vastanneet mitenkään Iiron ilmoituksiin. Niinpä hän päätti ilmoittaa haavoittuvuuksista sen aikaiseen Viestintävirastoon. Nykyään hän ilmoittaa ajan säästämisen vuoksi haavoittuvuudet suoraan Kyberturvallisuuskeskukselle, jolla on myös paremmat muskelit viedä asioita eteenpäin ja yrityksetkin suhtautuvat eri tavalla sieltä tuleviin ilmoituksiin. Tästä lähti liikkeelle kiinnostus hyökkäävään tietoturvaan. Haavoittuvuuksien etsimisen lisäksi Iiro tutustui myös erilaisiin tutkimuksiin asiasta. Iiro huomasi homman olevan harrastuksen lisäksi päätyö, vaikka siitä ei varsinaista palkkaa saanutkaan. Vähän korvaustaa sentään tuli Bug Boynteista, esiintymisistä ja konsultoinneista.

Iiron mielestä “Ei ole eettisesti oikein pyytää rahaa tietoturva-aukkojen, jotka on löytynyt vahingossalöytämisestä – se olisi lähellä kiristämistä.”

Toimintaa leimaa tiukka etiikka. Hyökkäyksiin pyydetään yleensä aina  kohteelta lupa. Missään nimessä haittaa ei tehdä. Aikaa ei välttämättä ilmoiteta vaan kerrotaan, että hyökkäys tehdään esimerkiksi seuraavan kuukauden aikana, koska tarkoitus on testata tietoturvaa normaalitoiminnassa. Joskus tosin hyökkäys on tullut kohteelle yllätyksenä, kun on unohdettu asiasta sovitun.

Suomessakin on ymmärretty hyvän hakkeroinnin joukkoistamisen mahdollisuudet ja tärkeys. Näin saadaan hyvää tietoa yritysten ja myös viranomaisten tietoturvasta. Iirokin  kavereineen osallistui noin viisi vuotta sitten LähiTapiolan hackathon live-tapahtumaan. Tapahtumassa jokaisesta löydetystä haavoittuvuudesta maksetaan pieni korvaus. Ryhmällä oli nimenä pitkä numerosarjayhdistelmä, jota kukaan ei muistanut. Piti olla lyhyempi ja muistettava nimi.  – syntyi Team ROT, koska yhdellä kavereista ole vapaana verkkotunnus rot.fi. Saksan kielessähän punainen tiimi on hyökkäävä tiimi (sininen on puolustava). Tuolloin tiimissä oli 4 jäsentä ja nykyään heitä on kaikkiaan 6, joista melkein kaikki päivätyöskentelevät tietoturvatehtävissä alan yrityksissä.

Iiro on myös tv-tähti. Yle Areenasta löytyy Team Whack – kaikki on hakkeroitavissa -sarja. Team Whack syntyi, kun ohjaaja Jani Pyylammi etsi osaajia uuteen ohjelmaformaattiin. Alussa oli ajatuksena rakenta aohjelma tekoälyn ympärille, mutta lopulta hakkerointi vaikutti mielenkiintoisemmalta. Aluksi ohjelma ei mennyt Ylellä läpi, mutta he pääsivät mukaan “ohjelmaformaatiikiihdyttämöön”, jossa ohjelmasarja jalostui nykymuotoonsa. Ohjelmasarjan tarkoitus on näyttää käytännössä, miten hyökkäykset tehdään käytännössä eikä vain varoitella. Kolmen pääesiintyjän ja pienen tuotantotiimin lisäksi mukana oli muutama luotettava taustahakkeri. Tänään Iiro ei innostu seuraavan tuotantokauden tekemiseen ainakaan samassa formaatissa, koska ohjelman teko oli varsin työlästä runsaan taustatyön vuoksi ja aiheetkin on jo aikalailla kaluttu. Ohjelmaan osallistumisesta oli Iirolle se hyöty, että enään ei tarvitse niin paljon selitellä osaamistaan ja asiakaskontaktejakin tuli jonkin verran. Ohjelma myös toi laajemman yleisön ja yritysten johdonkin tietoon tietoturva-asiat.

Syksystä alkaen Iiro on työskennellyt tietoturvakonsulttina Fraktal Ooy:ssä. Korona ei suuresti ole vaikuttanut Iiron työhön, sillä hän on aina tehnyt paljon töitä kotona. Toki koska Covidin takia monet työskentelevät etänä, se on lisännyt siihen liittyvien huijausyritysten määrää. Iiron työ jakaantuu karkeasti kolmeen: johtamiseen, kehittämiseen ja konsultointiin. Käytännössä aamulla on muutaman minuutin statuspalaveri, jossa käydään läpi, miten menee ja mitä tehdään parhaillaan. Seuraavassa palaverissa keskustellaan siitä, mitä tehdään viikon aikana. Lisäksi on koko joukko muita palavereita ja tietysti tiukkaa tietokonetyöskentelyä. Parhaillaan Iiro tekee asiakkaalle puhelimen sovellusten murtotestaukseen liittyviä hommia. Iiro on myös tuoteomistajana projektissa, jossa tavoitteena on pilvipohjaisen tietoturvaoppimisympäristön rakentaminen ammattilaisten käyttöön. Osan projekteista Iiro on onnistunut siirtämään gradujen tekijöille, joista Tampereella on hyvä tarjonta.  Lisäksi Iirolla on tietysti vapaa-ajan projekteja, joista vielä ei ole aika julkisesti puhua.

Iiro näkee, että jatkossa etätyö laajenee ja hakkerointikulttuuri tulee paremmin käyttöön ja tietoturvaa ymmärretään ja arvostetaan yhä enemmän. Tietoturva yleistyy ja siitä tulee yrityksille yksi markkinointivaltti. Suuret yhtiöt satsaavat siihen erityisesti. Valkohattuhakkerin tulevaisuus näyttää – jos ei valoisalta, niin ainakin työntäyteiseltä.

Pitkyn syyskokouksen yhteydessä Iiro kertoo  organisaation tietoturvasta hyökkääjän silmin höystäen esitystä tosielämän esimerkein. Samalla hän kertoo, miten turvataan  ja parannetaan organisaation tietoturvaa.

Linkkejä:

• Kyberturvallisuuskeskus ja Bug Boynty -ohjelmat https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/bug-bounty-ohjelmien-avulla-tietoturvaongelmat-voi-kaantaa-pr-voitoiksi
• TEAM-ROT https://teamrot.fi/
• Team Whack https://areena.yle.fi/1-4664681

Iiron tietoja

• https://fi.wikipedia.org/wiki/Iiro_Uusitalo
• https://www.linkedin.com/in/iirouusitalo/?originalSubdomain=fi

Teksti: Ilpo Tolvanen