Vapaaehtoisvoimin tehty, kaikille tarkoitettu työkalu voi päätyä myös murtomiehen käsiin. Silti se parantaa kaikkien turvallisuutta, sanoo vapaaehtoistyötä tekevä hakkeri Joona Hoikkala.

Hakkeri-sanaa käytetään monin tavoin. Arkikielessä se samastetaan tietomurtajan kanssa, mutta merkitys on suppea ja harhaanjohtava.

Alun perin termi on neutraali, eli ei tarkoita hyvää tai pahaa. Sen sijaan se tarkoittaa ihmistä, joka keksii tapoja käyttää kohteita – järjestelmiä, ihmisiä tai melkein mitä tahansa – uusilla ja luovilla tavoilla. Rikkoa tai muuttaa niiden toimintaa luovalla tavalla. Hakkerointi voi johtaa tietomurtoihin, mutta myös moneen muuhun asiaan.

Se ei ole kuitenkaan ainoa tapa vaikuttaa tietojen turvallisuuteen. Myös sillä, että saa ihmiset kohtaamaan toisensa uudella tavalla voi saada aikaan tämän. Silloin nämä voivat alkaa jakaa tietoa keskenään uusilla tavoilla.

Juuri tätä tekevät Joona Hoikkala ja Joakim Tauren. Sekä työkseen että vapaa-ajalla.

– Tietoturvayhteisön yhteiset kokoontumiset, open source -yhteisön hommat ja KyberVPK, luettelee Visman hyökkäystutkimuksen ryhmänvetäjä Joona Hoikkala tapoja tehdä maailmasta hieman turvallisempi.

Suomalainen erikoisuus KyberVPK on tietoturva-ammattilaisten kollektiivi, joka toimii muun muassa tiedotuskanavana, puhujien välittäjänä ja neuvonantajana.

Yhteisö teki muun muassa merkittävän urakan Vastaamon tietomurron uhrien auttamisessa. Lisäksi se tekee työtä organisaatioiden suojelemiseksi verkkorikollisilta esimerkiksi ohjeistuksia luomalla.

Tietoturva-ammattilaisten kokoontumisista tunnetuin on vuosittainen Disobey, sen jälkeen tulevat ”secit”. Paikalliset TurkuSec, HelSec, Lappeenrannan SaimaaSec ja Pohjanmaan HäjySec ovat tietoturvayhteisön epämuodollisia tapaamisia, joissa vaihdetaan kokemuksia ja tietoa. Nykyisellään tapahtumia on 13, yksi Suomen ulkopuolella Tallinnassa. Myös näistä kahta Hoikkala ja Tauren ovat olleet perustamassa.

Joona Hoikkala 40 vuotta Turusta avoliitossa, 3 tyttöä Suosikki-it-vaikuttaja: Tim Berners-Lee (www:n kehittäjä) Harrastukset: koodaaminen, lautapelit, käsityöläisoluet

Vapaa-ajallaan Joona Hoikkala ylläpitää sekä hyökkäykseen että puolustukseen käytettäviä avoimeen lähdekoodiin perustuvia tietoturvatyökaluja.

Open source -koodaus eli avoimen koodin luominen on ohjelmistojen tuottamista kaikkien yhteiseen käyttöön.

Hoikkala työskenteli aikaisemmin avoimen lähdekoodin koodaajana Electronic Frontier Foundationissa työstäen koko webin kattavaa salausta. Tämä toteutui sittemmin verkkoselainten hyödyntämän https:n muodossa. Nykyisin suurin osa verkkoselainten liikenteestä on salattua, eli muut verkonkäyttäjät eivät pääse vakoilemaan sen sisältöä.

– Se valoi pohjan yhteisölliseen tekemiseen. Yhden ihmisen kontribuutioilla voi olla suuri merkitys.

Hoikkalan mukaan paras esimerkki tästä on Linus Torvalds, joka loi ympäri maailmaa levinneen Linux-käyttöjärjestelmän.

– Ensin oli sellainen olo, että eihän tuollaista voi kukaan kuolevainen luoda. Sitten huomasin, ettei tarvitse luoda kokonaista käyttöjärjestelmää, joka otetaan käyttöön ympäri maailmaa. Hyvää pystyy tekemään pienemmilläkin palikoilla, Hoikkala sanoo.

Vapaa-ajallaan Hoikkala ylläpitää sekä hyökkäykseen että puolustukseen käytettäviä avoimeen lähdekoodiin perustuvia tietoturvatyökaluja.

Näitä ovat työnantaja Visman nimissä ylläpidettävä Confused, joka antaa ohjelmistokehittäjille mahdollisuuden järjestelmiensä haavoittuvuuden tutkimiseen. Harrastustoimintaa puolestaan on Acme-dns, joka korjaa tiettyjä verkkoselainten salauksen automatisoinnin ongelmia.

– Se on aika laajasti käytetty, vaikka sen toimintaa on vaikea selittää, Hoikkala naurahtaa.

Kolmas ohjelma on hyökkäävän tietoturvan työkalu Fuzz Faster U Fool, joka lähettää vääristyneitä vastauspyyntöjä palvelimelle haavoittuvuuksia löytääkseen.

Hoikkalan mukaan yritykset alkavat pikku hiljaa heräillä siihen, että näiden olisi katseltava itseään hyökkääjän silmin.

– Että hahmotetaan, mitä näkyy ulkomaailmaan verkon yli. Tätä tiimissämme kartoitamme ja automatisoimme, Hoikkala sanoo.

Entäpä motivaatio. Mikä saa hakkerin käyttämään vapaa-aikaansa ilmaiseksi siten, että siitä voivat hyötyä kaikki – nekin tahot, joista mies ei itse pidä?

– Uskon, että ihmiskunnan resursseja voidaan hyödyntää auttamalla toinen toistamme eteenpäin sen sijaan että painetaan kaveria alaspäin, Hoikkala vastaa.

– Jos ajatellaan asiaa puhtaasti markkinataloudellisesti, silloinhan tässä annetaan yrityksille ilmaiseksi työkaluja käyttöön saamatta itse vastinetta. Tietoturva on kuitenkin jaettu velvollisuus. Parantamalla globaalia tietoturvan tilaa, tulee auttaneeksi myös itseään, vanhempiaan ja lapsiaan.

Visman tietoturvallisuustestauksen johtaja Joakim Tauren kertoo, että hänen vapaaehtoistyönsä rakentuu johtamiseen ja puhumiseen liittyvistä teemoista. Hänelle tärkeitä teemoja ovat tapahtumien järjestäminen sekä alan läpinäkyvyyden lisääminen.

– Voisi sitä varmaan vaikuttamiseksikin luonnehtia. Kyse on siitä, että voi vaikuttaa muihin siten, että ihmiset tapaavat toisensa ja alkavat jakaa tietoa avoimesti, Tauren sanoo.

Joakim Tauren 40 vuotta Seinäjoelta avioliitossa, 3 tyttöä Suosikki-it-vaikuttaja: Linus Torvalds (Linuxin kehittäjä) Suosikkikäyttöjärjestelmä: macOS Harrastukset: perhokalastus, jääkiekko, koneoppimisen ja tekoälyn tutkimus

Perinteisesti tietoturva on Suomessa ollut hyvin lokeroitunutta talojen sisällä. Monissa paikassa ratkaisuja pidetään kilpailuvaltteina tai salaisuuksina.

– Nykyisin pystytään olemaan tietoturvatapahtumien suhteen avoimempia. Usein käy niin, että jos ei kerrota ja lakaistaan asiat maton alle, se tulee esiin jossain vaiheessa. Mutta jos olet hoitanut asian hyvin ja kerrot sen, se lisää luottamusta, Tauren sanoo.

– Toivoisin ihmisiltä enemmän avoimuutta ja ammatillista jakamista. Ihmisillä on timanttista asiantuntemusta, mutta he eivät näe sitä itse. Toivoisin, että rohkeammin avataan suuta. Toki keskustelulle on löydettävä oikea taso, että lavalla ei kerrota yrityssalaisuuksia, Hoikkala täydentää vierestä.

Taurenin mieleen jäävin onnistumisen kokemus liittyy kuitenkin työnantajan tehtävään. Vuonna 2019 paljastui laaja Vismaan kohdistunut tietomurto, josta on epäilty Kiinaa.

Tauren rakensi julkisen esiintymisensä murron jälkipyykistä Helsec-tapahtumassa ja myöhemmin Tietoturva 2019 -seminaarissa Star Wars -teeman ympärille, ja sai runsaasti hyvää palautetta.

– Sen jälkeen onkin pyydetty melkein joka paikkaan puhumaan, Tauren toteaa.

Lauren oli myös käynnistämässä Vismassa bug bounty – eli haavoittuvuuspalkkio-ohjelmaa tiettävästi kolmantena suomalaisyrityksenä. Nämä ovat valkohattuhakkereille hyviä mahdollisuuksia harjoitella hyökkäystaitojaan laillisesti ja samalla mahdollinen lisätulojen lähde. Samalla hakkeriyhteisö tuli tutuksi.

Entä mikä saa Taurenin käyttämään vapaa-aikaansa tähän?

– Sellainen lapsellinen tutkimuksen halu. Jonkin verran teen bug bountyja, mutta aika vähän. Kun tekoälyvallankumous alkoi, tein heti deepfaken [videoväärennöksen pomostani]. Tutkiskelen tulevia, innovatiivisia juttuja, Tauren naurahtaa.

Hoikkala ja Tauren tekevät asioita, jotka hyödyttävät etupäässä yrityksiä. Mikä olisi heidän neuvonsa tavalliselle ihmiselle, jolle jo esimerkiksi reitittimen asetusten säätäminen on hankalaa.

– Suurin hyöty tavalliselle ihmiselle on siinä, että yritykset oppivat suojaamaan paremmin järjestelmänsä, Hoikkala sanoo.