Pirkanmaan tietojenkäsittely-yhdistyksen (Pitky) syyskokouksessa valkohattuhakkeri Iiro Uusitalo pureutuu tietoturvaan hyökkääjään silmin. Tässä haastattelussa Iiro avaa valkohattuhakkerin maailmaa, kertoo siitä, miten hänestä tuli valkohattuhakkeri ja mitä hän nykyään tekee.
Iiro on tehnyt jo parikymmentä vuotta puolustavaa tietoturvaa. Varsinaisesti homma lähti lentoon 2015, kun hän ja Jarmo Puttonen opiskelivat tietoturvaa TTY:llä ja tutustuivat Bug bounty -maailmaan eli haavoittuvuuspalkinto-ohjelmiin. Näissä isoissa alustoissa yritykset varta vasten ilmoittavat ja pyytävät tutkimaan heidän järjestelmiään. Lisäksi Iiro löysi “vahingossa” liki 100 haavoittuvuutta, joista hän ilmoitti yrityksille. Tähän kului runsaasti aikaa ja yritykset eivät usein vastanneet mitenkään Iiron ilmoituksiin. Niinpä hän päätti ilmoittaa haavoittuvuuksista sen aikaiseen Viestintävirastoon. Nykyään hän ilmoittaa ajan säästämisen vuoksi haavoittuvuudet suoraan Kyberturvallisuuskeskukselle, jolla on myös isommat muskelit viedä asioita eteenpäin ja yrityksetkin suhtautuvat eri tavalla sieltä tuleviin ilmoituksiin. Tästä lähti liikkeelle kiinnostus hyökkäävään tietoturvaan. Haavoittuvuuksien etsimisen lisäksi Iiro tutustui myös erilaisiin tutkimuksiin asiasta. Iiro huomasi homman olevan harrastuksen lisäksi päätyö, vaikka siitä ei varsinaista palkkaa saanutkaan. Vähän korvausta sentään tuli haavoittuvuuspalkinto-ohjelmista, esiintymisistä ja konsultoinneista.
“Ei ole eettisesti oikein pyytää rahaa tietoturva-aukkojen löytämisestä – se olisi lähellä kiristämistä.”Toimintaa leimaa tiukka etiikka. Hyökkäyksiin pyydetään kohteelta lupa. Missään nimessä haittaa ei tehdä. Tarkkaa aikaa ei välttämättä ilmoiteta, koska tarkoitus on testata tietoturvaa normaalitoiminnassa. Joskus hyökkäys on tullut yllätyksenä, kun kohde on unohtanut anteensa luvan.
Suomessakin on ymmärretty hyvän hakkeroinnin joukkoistamisen mahdollisuudet ja tärkeys. Näin saadaan hyvää tietoa yritysten ja myös viranomaisten tietoturvasta. Iirokin kavereineen osallistui noin viisi vuotta sitten LähiTapiolan hackathon-tapahtumaan. Tapahtumassa jokaisesta löydetystä haavoittuvuudesta maksetaan pieni korvaus. Ryhmällä oli nimenä pitkä numerosarjayhdistelmä, jota kukaan ei muistanut. Piti olla lyhyempi ja muistettava nimi – syntyi Team ROT, koska yhdellä kavereista ole vapaana verkkotunnus rot.fi. Saksan kielessä punainen tiimi on hyökkäävä ja sininen puolustava tiimi. Tuolloin tiimissä oli neljä jäsentä ja nykyään heitä on kaikkiaan kuusi, joista melkein kaikki työskentelevät tietoturvatehtävissä alan yrityksissä.
Iiro on myös tv-tähti. Yle Areenasta löytyy Team Whack – kaikki on hakkeroitavissa -sarja. Team Whack syntyi, kun ohjaaja Jani Pyylammi etsi osaajia uuteen ohjelmaformaattiin. Alussa oli ajatuksena rakentaa ohjelma tekoälyn ympärille, mutta lopulta hakkerointi vaikutti mielenkiintoisemmalta. Aluksi ohjelma ei mennyt Ylellä läpi, mutta he pääsivät mukaan “ohjelmaformaattikiihdyttämöön”, jossa ohjelmasarja jalostui nykymuotoonsa. Ohjelmasarjan tarkoitus on näyttää käytännössä, miten hyökkäykset tehdään käytännössä eikä vain varoitella. Kolmen pääesiintyjän ja pienen tuotantotiimin lisäksi mukana oli muutama luotettava taustahakkeri. Tänään Iiro ei innostu seuraavan tuotantokauden tekemiseen ainakaan samassa formaatissa, koska ohjelman teko oli varsin työlästä runsaan taustatyön vuoksi ja aiheetkin on jo kaluttu. Ohjelmaan osallistumisesta oli Iirolle se hyöty, että enää ei tarvitse niin paljoa selitellä osaamistaan ja asiakaskontaktejakin tuli jonkin verran.
Syksystä alkaen Iiro on työskennellyt tietoturvakonsulttina Fraktal oy:ssä. Korona ei ole suuresti vaikuttanut Iiron työhön, sillä hän on aina tehnyt paljon töitä kotona. Koronan takia monet työskentelevät nyt etänä, mikä on lisännyt etätyöskentelyyn liittyvien huijausyritysten määrää. Iiron työ jakaantuu karkeasti kolmeen: johtamiseen, kehittämiseen ja konsultointiin. Käytännössä aamulla on muutaman minuutin statuspalaveri, jossa käydään läpi, miten menee ja mitä tehdään parhaillaan. Seuraavassa palaverissa keskustellaan siitä, mitä tehdään viikon aikana. Lisäksi on koko joukko muita palavereita ja tietysti tiukkaa tietokonetyöskentelyä. Parhaillaan Iiro tekee asiakkaalle puhelimen sovellusten murtotestaukseen liittyviä hommia. Iiro on myös tuoteomistajana projektissa, jossa tavoitteena on pilvipohjaisen tietoturvaoppimisympäristön rakentaminen ammattilaisten käyttöön. Osan projekteista Iiro on onnistunut siirtämään gradujen tekijöille, joista Tampereella on hyvä tarjonta. Lisäksi Iirolla on tietysti vapaa-ajan projekteja, joista vielä ei ole aika julkisesti puhua.
Iiro näkee, että jatkossa etätyö laajenee ja hakkerointikulttuuri tulee paremmin käyttöön ja tietoturvaa ymmärretään ja arvostetaan yhä enemmän. Tietoturva yleistyy ja siitä tulee yrityksille yksi markkinointivaltti. Suuret yhtiöt satsaavat siihen erityisesti. Valkohattuhakkerin tulevaisuus näyttää – jos ei valoisalta, niin ainakin työntäyteiseltä.
Pitkyn syyskokouksen yhteydessä Iiro kertoo organisaation tietoturvasta hyökkääjän silmin höystäen esitystä tosielämän esimerkein. Samalla hän kertoo, miten turvataan ja parannetaan organisaation tietoturvaa.
Teksti: Ilpo Tolvanen
Iiro Uusitalo
Pirkanmaan tietojenkäsittely-yhdistys (Pitky) on Pirkanmaan alueella toimiva TIVIAn jäsenyhdistys.