Joosua sai palkkion hakkeroinnista: ”Menneinä vuosina ei katsottu hyvällä”

Julkaistu:

Tietoturva
Joosua Santasalo sai tuntuvan palkkion löytämästään tietoturva-aukosta. Bug bounty -kampanjoiden yleistyminen kertoo ohjelmistoalan asennemuutoksesta.
– Kynnys julkaista omaa sovellusta nousi todella paljon, sanoo Joosua Santasalo, tietoturvayhtiö Nixun vanhempi tietoturvakonsultti.

– Omien löytöjen jälkeen oma luottamus sovellusten turvallisuuteen on vähentynyt olennaisesti.

Santasalon vainoharhaisuus on seurausta hänen harrastuksestaan. Santasalo on niin sanottu valkohattuhakkeri, eli hyväntahtoinen hakkeri, joka ilmoittaa löytämistään virheistä ohjelmistojen tekijälle. Hakkerien jako valko- ja mustahattuisiin on perua vanhoista lännenelokuvista, joissa sankari perinteisesti käytti valkoista ja konna mustaa hattua.

Pelkästä hyväntahtoisuudesta ei Santasalon kohdalla silti ole kyse. Hän tienasi viime syksynä ”viisinumeroisen summan” niin sanotusta bug bounty -ohjelmasta, jossa yritys lupasi palkkion sen ohjelmistoista löytyneistä virheistä.

– Tykkään helpoista voitoista, joten menin siitä mistä aita on matalin. Se oli helpompaa, taustatöitä ei tarvinnut tehdä, Santasalo sanoo.

– Olen itse erikoistunut käytännössä yhden ohjelmistotalon ohjelmiin, jotka satun tuntemaan hyvin.

Ohjelmistotalon nimeä tai aukkojen yksityiskohtia Santasalo ei kuitenkaan paljasta, sillä yhtiö kielsi sen palkkion maksamiseen liittyvissä ehdoissa.

– Ne eivät olleet niinkään bugeja eli perinteisiä ohjelmistovirheitä, vaan loogisia suunnitteluvirheitä, Santasalo kuvaa.

– Kyse ei siis ole esimerkiksi puuttuvasta pilkusta, vaan että ohjelman tekijä on ajatellut käyttäjän olevan hyväntahtoinen. Itse löytämissäni virheissä suunnittelija ehkä odotti käyttäjän toimivan tietyllä tavalla, eikä ollut ottanut huomioon kaikkia vaihtoehtoja. Ohjelmia ei yleensä tehdä hyökkääjää vastaan, vaan parantamaan tuottavuutta.

Palkkioiden arvoiset löydöt hän teki viime syksynä kolmen kuukauden aikana työn, perhe-elämän ja muun vapaa-ajan ohessa. Santasalo arvioi saaneensa harrastuksestaan hyvän tuntipalkan, sillä yhtenäiseksi työajaksi muutettuna hän arvioi aukkojen etsimisen olleen noin viikon työ.

Hakkereiden palkitseminen voi parantaa mainetta

Asenne hakkerointia kohtaan on Santasalon mukaan muuttunut paljon julkisten hakkerointiohjelmien ansiosta.

Julkisten bug bounty -ohjelmien suosion kasvu on näkyvä merkki asennemuutoksesta ohjelmistoalalla.

– Menneinä vuosina edes hyväntahtoisia haavoittuvuuksien selvittämiseen tähtääviä tutkimuksia ei katsottu hyvällä, Santasalo sanoo.

Hän sanoo itsekin törmänneensä rajoihin tehtyään ohjelman, joka kuormitti erään palvelun sisäänkirjautumissivua. Yhtiö kielsi testauksen.

Nykyään valkohattuhakkeriksi on tarjolla monta reittiä. Omien sivujensa lisäksi yritykset julkistavat bug bounty -kampanjoita niihin erikoistuneessa Hackerone -verkkopalvelussa. Osa palkkiokampanjoista on avoinna kaikille, osa vain kutsutuille asiantuntijoille.

– Palkkio-ohjelmilla ei myöskään kovin moni rikastu, ja moni etsii virheitä oman leipätyönsä ohessa, vähän kuin ”palkallisena harrastuksena”. Kun etsijöitä on paljon, niin ne isoimmat ja helpoimmat neulat on yleensä jo kerätty, Santasalo sanoo.

– Jotkut hakkerit taas tavoittelevat osallistumisella mainetta, kunniaa ja rahaa. Tosin maineen saaminen voi olla kyseenalaista, sillä monen kampanjan säännöt kieltävät kertomasta löydetyistä aukoista, Santasalo toteaa.

Sovelluksista löytyneet aukot kun eivät juuri paranna yritysten mainetta. Sen sijaan pikainen reagointi löydettyihin aukkoihin saattaa parantaa yrityksen luotettavuutta alan toimijoiden silmissä.

Yleensä palkkiokampanjoita järjestävät yritykset ovat jo aiemmin panostaneet tietoturvaan. Palkkio-ohjelmien yleistyminen jollain ohjelmistoalalla on lisännyt painetta myös niille yrityksille, jotka eivät ole sellaista aloittaneet.

– Jos joku yritys julkistaa bug bounty -kampanjan, mutta sen kilpailija ei, niin herää kyllä kysymys tämän kilpailijan tietoturvan tasosta, Santasalo sanoo.

Ja vaikka yritys itse ei maksaisikaan palkkioita sen tuotteista löytyneistä tietoturva-aukoista, saattaa joku muu niin tehdä. Esimerkiksi Zerodium-niminen yritys ostaa muun muassa tietoja Windows-käyttöjärjestelmän, eri nettiselaimien, älypuhelinten ja sähköpostiohjelmien aiemmin julkaisemattomista ja paikkaamattomista haavoittuvuuksista, mutta ei ilmoita niistä ohjelmien ja palvelujen kehittäjille. Sen sijaan yhtiön arvellaan myyvän aukkoja valtiollisille toimijoille.

Kommentit

    Näytä lisää
    Kommentointi on päättynyt