Iiro, valkohattuinen hakkeri

Iiro Uusitalo Turvallisuus ja riskienhallinta -lehti valitsi Uusitalon juuri Finnish Security Awards palkintojenjaossa vuoden 2019 turvallisuuskonsultiksi. Twitterissä joku kommentoi: ”Täysosuma!”
– Onhan se aina mukava, kun palkitaan, mutta ei se mullistanut normaalia arkea, Iiro vastaa, kun kysyn häneltä ”miltä nyt tuntuu”.

Palkinto ei ole Uusitalon ensimmäinen. Vuonna 2018 liikenne- ja viestintäministeriö palkitsi hänen valkohattutoimintansa Tietoturvan suunnannäyttäjä -tunnustuksella. Vuonna 2017 Uusitalon ja kavereiden muodostaman Team ROTin #kuntahaaste-tempaus oli Vuoden tietoturvateko.

Tunnustusten myötä Iirolle satelee luentokutsuja. Hän puhuu tietoturvasta erilaisille yleisöille keskimäärin kerran viikossa. Kutsuja tosin saattaisi tulla muutenkin: Uusitalo on ehkä juuri työpaikkailmoitusten ”hyvä tyyppi”: taitava ja paneutuva, mutta myös huumorintajuinen, osaamistaan jakava ja tasapuolisen ystävällinen.

Hyökkäyspintaa tutkimassa

Työkseen Uusitalo toimii pilvipalvelu- ja tietoturva-asiantuntijana Solita Oy:ssä. Nykyisin hän tekee paljon tutkivaa työtä: kerää kohdeorganisaatiosta internetissä olevia ”tiedonjyväsiä” ja yhdistelee niitä toisiinsa – tekee tutkimusta organisaatiosta näkyvästä tiedosta ja pyrkii tunnistamaan mahdollisia uhkia niihin liittyen. Tällä hetkellä työ liittyy automatisoituun tietoturvatestaukseen, jonka Uusitalon työnantaja on lanseerannut.

Jos esimerkiksi oman yrityksen tai yhteisön tietoturva mietityttää, tutkintaa voi tehdä itsekin manuaalisesti. Googlehakujen tekeminen on laillista.

– Välillä organisaatiot eivät tiedä itse mitä heistä löytyy verkossa. Viisi kertaa on löytynyt asiakastietokanta googlaamalla, Uusitalo sanoo.

Tietovuotoja ja tietoturvapoikkeamia löytyy joskus siis vahingossa. Uusitalo kokee velvollisuudekseen kertoa siitä asianosaisille. Omin päin hän ei tietoturva-aukkoja testaa.

Hakkerointi harrastuksena

Iiro Uusitalon ura alkoi ohjelmoijana. Sitten hän kiinnostui hakkeroinnista ja alkoi tehdä vapaa-ajallaan bug bountyjä, haavoittuvuuspalkkio-ohjelmia, jossa organisaatiot antavat hakkereille luvan tehdä tutkimusta sovellustensa tietoturvasta.

Uusitalo on viitisen vuotta kuulunut kuusihenkiseen Team ROTiin. Se osallistuu erilaisiin tietoturvatapahtumiin, joissa esimerkiksi yritykset pyytävät hakkereita hakkeroimaan omia tietojärjestelmiään. Hakkerit saavat raportoiduista haavoittuvuuksista palkkion ja yritykset korjaavat haavoittuvuudet.

Vapaaehtoistyönä Team ROT on tehnyt muun muassa palkitun #kuntahaaste-tempauksen. Mukaan ilmoittautuneista kunnista valittiin kolme, mutta muillakin kunnilla on ollut mahdollisuus hyötyä haasteesta: löydetyt haavoittuvuudet ilmoitettiin Traficomin kyberturvallisuuskeskukseen, josta niistä ilmoitettiin vastaavia järjestelmiä käyttäville kunnille ja organisaatiolle. Kuntahaasteen jälkeen siirryttiin toisen asteen ja korkeakoulujen pariin vastaavassa #kouluhaaste-tempauksessa.

Uusitalo ja kaksi muuta valkohattuhakkeria tiedetään myös Ylen dokumenttisarjasta ”Team Whack – kaikki on hakkeroitavissa”, joka näytettiin televisiossa maaliskuussa 2019. Sarja löytyy Yle Areenasta nimellä Team Whack.

Lisäksi Uusitalo toimii hakkereiden tietoturvayhteisöissä. Hän on ollut perustamassa TallinnSec –yhteisöä – Tallinnaan hän meni työn puolesta, perustamaan Solitan Tallinnan-toimistoa.

Riittääkö aika muuhun? Ainakin maalla asumiseen ja kausiluonteiseen liikkumiseen: lenkkeilyyn, jääkiekkoon ja uimiseen.

VINKIT: Nämä kaikkien on hyvä tietää ja tehdä

1) Salasanat: Salasanojen pitäisi olla jokaisessa palvelussa omansa eli uniikki: jos palvelun tarjoaja vuotaa salasanat tietomurron yhteydessä, niillä ei pääse kirjautumaan muihin palveluihin, esimerkiksi työpaikan sähköpostiin. Salasanojen hallintaan on suositeltavaa käyttää salasananhallintatyökalua.
2) Monivaiheinen tunnistautuminen eli MFA (multi factor authentication), on 6-numeroinen satunnainen numerosarja, jota kysytään salasanan syöttämsien jälkeen palveluissa. Se ei yleensä ole sovelluksissa (esim. Facebook, Google) oletusasetuksena, vaan pitää laittaa päälle.
3) Päivitykset: Pidä ajan tasalla.

Lisäksi bonusvinkki avoimista verkoista, kun haastattelija sitä kysyy:

4) Kannattaa käyttää VPN:ää (virtual private network). Ainakin isoilla työpaikoilla sellainen on käytettävissä, itse hankittavissa olevia on esimerkiksi F-Securen Freedome. Jos käytät avointa verkkoa, ei kannata pitää päällä ”yhdistä automaattisesti” -asetusta.

Hakkerit

Hakkeroinnilla tarkoitetaan muun muassa tietojärjestelmien ja niiden turvallisuuden tutkimista.

Valkohattuhakkeri hakkeroi vain saatuaan luvan tai suostumuksen kohteelta. Tarkoituksena on löytää mahdolliset tietoturva-aukot ja paikata ne.

Mustahattuhakkeri niin ikään etsii tietoturva-aukkoja, mutta käyttää osaamistaan haitallisiin tarkoituksiin.

Harmaahattuhakkerin tarkoituksena ei ole aiheuttaa pahaa, mutta hän ei ole kysynyt lupaa hakkerointiin.

SAMK TWITTERISSÄ