Tietoturva-asiantuntija Iiro Uusitalo on Suomen tunnetuimpia hakkereita, nimenomaan hyvishakkereita. Ylen esittämässä Team Whack -sarjassa Uusitalo kumppaneineen etsi tietoturva-aukkoja yritysten ja julkisyhteisöjen palveluista. Ohjelma avasi monen tavallisen netinkäyttäjän silmät internetin vaaroille ja sai suojautumaan paremmin tietoturvahyökkäyksiltä.

Uusitaloa ja hänen kollegojaan kutsutaan it-maailmassa valkohattuhakkereiksi (white hat hackers) tai eettisiksi hakkereiksi. Mustahatut tekevät puolestaan pahaa ja koittavat sillä tavoin joskus tienata myös rahaa.

– Etenkään nuoremmat eivät aina ymmärrä, että tunkeutuminen toisen omistamaan palveluun ilman lupaa on aina laitonta. Temppu saattaa tuntua hauskalta, mutta sillä voi olla vakavat seuraukset" Uusitalo varoittaa.

Hakkereiden innostuksen ja taitojen kanavoiminen oikeisiin, yhteiskuntaa hyödyttäviin kohteisiin on synnyttänyt viime vuosina palvelualustoja, joiden kautta hakkeroinnista kiinnostuneet voivat laillisesti etsiä tietoturva-aukkoja. Tietoturvariskien eli haavoittuvuuksien löytämisestä maksetaan usein myös palkkio.

– Valkohattuhakkereiden työ konkretisoituu tavalliselle internetin käyttäjälle ohjelmien päivityksinä. Kun haavoittuvuus on löydetty, paikataan se päivityksillä, Uusitalo kuvailee.

Valkohatut hakkeroivat yleensä sivutoimisesti muun työn ohessa. Joillekin hakkerointi on pelkkä harrastus, mutta toisille se tarjoaa kokopäiväisen työn. Suomessakin on muutama kokopäiväinen, kansainvälisestikin arvostettu valkohattuhakkeri.

Uusitalolle hakkerointi on vapaa-ajan harrastus. Päätyökseen hän toimii tietoturva-asiantuntijana tamperelaisessa Solita-tietoteknologiayrityksessä. Uusitalo kertoo hakkeroinnin tuovan vain pienen osan hänen tuloistaan, mutta pitää sitä kiinnostava harrastuksena.

– Kaikki tietotekninen perusosaaminen on arvokasta valkohattuhakkeroinnissa. Hakkeri voi erikoistua niihin järjestelmiin ja ohjelmiin, joista hänellä on huippuosaamista. Oma vahvuuteni ovat erityisesti Linux-palvelinympäristöt.

Bug bounty -ohjelmat palkitsevat aukkojen löytämisestä

Valkohattuhakkerit työskentelevät usein bug bounty -palkkio-ohjelmien kautta. Yritys tai yhteisö, joka haluaa parantaa palveluidensa tietoturvaa, rakentaa bug bounty -ohjelman yhdessä tietoturvayhtiön kanssa. Aluksi sovitaan, mitkä internetpalvelut avataan hakkeroinnin kohteiksi ja kuinka suuri joukko hakkereita otetaan mukaan ohjelmaan. Hakkerointipalveluja tarjoavalla yrityksellä on listoillaan parhaimmillaan satoja tuhansia hakkereita, joista voidaan valita vain taitavimmat tai antaa hyvinkin suurelle joukolle mahdollisuus palveluiden hakkerointiin.

OP Ryhmällä on parhaillaan menossa amerikkalaisen HackerOne-yhtiön kanssa perustettu bug bounty -ohjelma. Tuloksiakin siitä on jo saatu.

– Olemme maksaneet hakkereille löydöksistä jo useita palkkioita, joiden suuruus on vaihdellut sadoista tuhansiin dollareihin. Suurin maksettu palkkio on ollut 4 000 dollaria. Olemmekin olleet todella tyytyväisiä ohjelman tuloksiin. Valkohattuhakkerointi on kustannustehokas tapa parantaa tietoturvaa, sillä palkkio maksetaan tehdyistä löydöksistä, ei työtunneista", tietoturvajohtaja Teemu Ylhäisi kertoo.

OP:n ensimmäinen bug bounty -ohjelma rajattiin vain tiettyihin pankin palveluihin ja ohjelmaan otettiin mukaan muutamia kymmeniä Pohjoismaiden parhaita hakkereita. Hyvien kokemusten innoittamana OP on avaamassa loppukesällä aikaisempaa laajemman bug bounty -ohjelman. Uudessa ohjelmassa hakkereille annetaan asteittain tutkittavaksi OP Ryhmän kaikki internetpalvelut.

Bug bounty -ohjelmissa on aina selkeät säännöt siitä, mitä hakkerit saavat tehdä ja mitä eivät. Esimerkiksi palvelunestohyökkäysten simulointi on kielletty. Myös asiakkaiden henkilötietojen käyttäminen on kiellettyä.

– Asiakkaiden kannalta hakkereiden käyttäminen on vain hyvä asia, jolla OP varmistaa palveluidensa tietoturvaa ja sitä kautta asiakkaidensa turvallista asiointia, Ylhäisi painottaa.

Tietoturvan kehittäminen on pankille jokapäiväistä työtä, jota tehdään oman henkilökunnan voimin ja ostamalla palveluita tietoturvayhtiöiltä.

– Valkohattuhakkerit tuovat tietoturvan kehittämiseen oman tärkeän panoksensa, jolla varmistetaan, etteivät kyberrikolliset pääse järjestelmiimme, Ylhäisi sanoo.

HackerOne välittää hakkereita

Kalifornian Piilaaksossa päämajaansa pitävä HackerOne on maailman johtava hakkeripalveluita tarjoava yritys. Se maksoi viime vuonna bug bounty -ohjelmistaan hakkereille 39 miljoonan dollarin palkkiot, enemmän kuin kaikki muut hakkerointiyritykset yhteensä. Vuonna 2012 perustettua HackerOne'a johtaa Suomen it-piireistä ja etenkin MySQL-yrityksestä tunnettu Mårten Mickos.

– Hakkeripalveluiden kysyntä kasvaa vahvasti ympäri maailman. Haemmekin tietoturvatehtäviimme ennakkoluulottomia ja uteliaita henkilöitä, joilla on lähes rajaton mielikuvitus. Hyvishakkerimme löytävät sellaisetkin aukot, jotka jäävät suunnitelmallisissa testeissä huomaamatta. Tässä piilee bug bounty -ohjelmien vahvuus. Ohjelmat ovat rokote kyberrikollisuutta vastaan, Mickos sanoo.

Hakkeripalveluiden kasvua selittää tutkimus, jonka perusteella kyberrikollisuus aiheuttaa yksityisille ja julkisille toimijoille noin 600 miljardin dollarin menetykset joka vuosi. Keskimääräinen kulu yhdestä vakavasta tietomurrosta on seitsemän miljoonaa dollaria.

HackerOnen asiakaskuntaan kuuluvat muun muassa General Motors, PayPal, Goldman Sachs, Twitter ja Spotify. Yksi mielenkiintoisimmista asiakkaista on USA:n puolustuhallinto, jossa HackerOne pyörittää Hack the Pentagon -nimistä ohjelmaa. Sen avulla on löydetty ja korjattu yli 14 000 tietoturva-aukkoa. Suomalaisista yrityksistä HackerOne'n asiakaskunnasta löytyvät OP:n lisäksi esimerkiksi LähiTapiola, Elisa ja Wolt.

Osa valkohattuhakkereista on hyvin kyvykkäitä ja heille on it-maailmassa monta ottajaa. Hyvishakkereiden palkkiot ovatkin kehittyneet varsin kilpailukykyisiksi. HackerOne’n löytöpalkkiot yhdestä haavoittuvuudesta vaihtelevat sadan ja sadan tuhannen dollarin välillä keskiarvon ollessa tuhat dollaria. HackerOne’n listoilla on tällä hetkellä 750 000 valkohattua, joista Mickoksen mukaan alle kymmenesosa on edennyt sellaiselle tasolle, jolla pääsee mukaan maksettuihin asiakasohjelmiin.

– Meillä on palveluksessamme kahdeksan HackerOne’n ohjelmista yli miljoona dollaria tienannutta hakkeria. He edustavat maailman ehdotonta tietoturvahuippua, Mickos sanoo