Suomalaishakkeri Harry, 39, löysi miljoonia koskettavan aukon – tekee tietomurtoja työkseen - Tietoturva - Ilta-Sanomat

Suomalaishakkeri Harry, 39, löysi miljoonia koskettavan aukon – tekee tietomurtoja työkseen

Julkaistu: 14.1.2017 18:02

Harry Sintonen testaa työkseen – ja huvikseen – vimpaimia, järjestelmiä ja ihmisiä. Heikkouksia löytyy ”älyttömän isot määrät”.

Tietoturvakonsultti Harry Sintonen syö voileipää Disobey-hakkeritapahtumassa Helsingin Kattilahallissa perjantai-iltana. Hän on juuri paljastanut sadoille hakkereille verkkotallentimesta löytämänsä tietoturva-aukon, joka koskettaa todennäköisesti miljoonia ihmisiä.

Tavallisesti ihmiset puhuvat Disobeyssa nimettömänä, koska hakkeriyhteisölle ominainen anonymiteetti mahdollistaa vapaan tiedon jakamisen. Sintonen edustaa kuitenkin tapahtumassaan työnantajaansa F-Securea, ja esiintyy siksi nytkin nimellään.

Sintosen paljastus koskee Qnapin valmistamaa TVS-663-verkkotallenninta eli NAS-laitetta. Haavoittuvuus koskee mahdollisesti muitakin valmistajan laitteita.

Qnapin valmistamaa TVS-663-verkkotallennin.

Sintosen löydös rakentuu useasta aukosta, joiden ketjuttaminen mahdollistaa tallennuslaitteelle pääsyn, tiedostojen lukemisen tai vaihtamisen toiseen ja koko laitteen haltuunoton. Kaappaaminen antaa murtautujalle mahdollisuuden valjastaa laitteen esimerkiksi osaksi palvelunestohyökkäyksissä käytettäviä bottiverkkoja.

Haavoittuvuus koskee monia, sillä Sintosen mukaan laitteita on todennäköisesti miljoonia. Pelkästään viimeisimmän – ja haavoittuvaisen – ohjelmistoversion on ladannut 1,5 miljoonaa käyttäjää.

39-vuotias hakkeri ei halua esiintyä kasvoillaan, koska se haittaisi hänen päivätyötään. Sintosen alaa on muun muassa penetraatiotestaus, eli palkattu hakkerointi. Hän testaa asiakkaidensa turvajärjestelmiä tietomurroin, harhauttamalla ja tarpeen vaatiessa jopa fyysisen murtautumisen keinoin – asiakkaan luvalla.

Hän pyytää välillä anteeksi leivän syömisen aiheuttamia taukoja. Nälkä ehti yllättää hakkerin, jonka aikataulu on hyvin tiivis.

Sintosen työtä ja harrastusta on vaikea erottaa toisistaan. Hän löytää harrastuspohjalta kymmeniä tietoturva-aukkoa vuodessa ja töiden puolesta ”älyttömän isot määrät”. Jälkimmäiset eivät kuitenkaan tule julkisuuteen, sillä ne paikataan kaikessa hiljaisuudessa.

Miehen aiemmista löydöksistä moni on saanut laajaa julkisuutta. Tällaisia ovat muun muassa ylioppilaskokeissa käytetyn järjestelmän hakkerointi ja Hackabi-kilpailun voitto vuonna 2013 ja Applen Mac OS X -käyttäjien tiedot vuoranut haavoittuvuus. Viime vuonna hän paljasti Lidlissä olevan pistorasian olevan kaapattavissa netistä käsin.

Myös verkkolevyn haavoittuvuus löytyi oman kiinnostuksen pohjalta.

– Minulla oli laite kotona ja aloin kokeilla, mitä sillä voi tehdä, Sintonen kertoo.

Yleensä haavoittuvuudet tuodaan julkisuuteen vasta, kun ne korjattu. Tietoturva-alalla pidetään kohtuullisena, että haavoittuvuuden saa julkistaa 42 tai 180 päivän kuluttua siitä, kun aukosta on kerrottu ohjelmiston tekijälle. Aikaa usein pidennetään, jos ohjelmiston tekijä sitä pyytää.

Sintonen kertoo ottaneensa Qnapiin yhteyttä vuoden 2016 helmikuun alussa, lähes vuosi sitten. Yhtiö lupasi useamman kerran korjata haavoittuvuuden, mutta lakkasi sitten vastaamasta yhteydenottoihin.

Verkkolevyt ovat hyvin yleisiä laitteita ja ne sisältävät sekä yrityksille että yksityisille tärkeää tietoa. Tulisiko verkkolevyjen käyttäjien huolestua laajemminkin?

– Tämä on erittäin tyypillinen tapaus, Sintonen toteaa.

Tavallinen ihminen pärjää kuitenkin pitkälle maalaisjärjellä: tuntemattomia linkkejä ei pidä klikata, ohjelmistot tulee pitää viimeisimmässä versiossaan ja liian hyvältä kuulostavia asioita ei kannata netissä uskoa.

– Laitehan on turvallinen, jos osaa olla laittamatta sitä suoraan verkkoon, Sintonen heittää.

Käytännössä useimmille on silti riittävää, että laite on kotiverkon internetistä eristävän reitittimen tai modeemin takana.

Toisaalta reitittimiäkin murretaan paljon.

– Niinhän se menee, Sintonen sanoo ja kohauttaa olkapäitään.

Niinhän tietoturva menee.