Helmikuussa eteeni ilmestyi mainos udemy.com -yliopistolta. Kuuluisa ja tasokas nettiyliopisto tarjosi kurssejaan hyvin halvalla, mukaan luettuna hakkerointikursseja.
Vain muutamalla kymmenellä eurolla tarjottiin mahdollisuutta opetella tunkeutumaan tietokoneisiin ja salasanojen takana oleviin lähiverkkoihin. Kurssin luvattiin olevan niin helppo, että minimaalisella tietämykselläkin voisi osallistua, ilman kummoistakaan tietokoneosaamista.
Tämä on hyvä, ajattelin, sillä tietotekniikkakokemukseni ei ole koskaan ollut sieltä parhaimmasta päästä. Osaan asentaa ja säätää Windowsin, mutta esimerkiksi koodaaminen on aina ollut minulle terra incognito. Ostin kurssin ja päätin ryhtyä sunnuntaihakkeriksi journalistisen tiedonhankinnan nimissä.
Hakkerointi on ollut jälleen laajasti otsikoissa. Yhdysvaltain tiedustelupalvelun vuodetut hakkerointityökalut päätyivät vääriin käsiin kesän alussa, mikä johti tuhansien ihmisten kiristämisiin.
Kuka tahansa yksityishenkilö voi opetella hakkeroimaan.
Sähköpostin välityksellä levinneet kiristysohjelmat ottivat koneita haltuunsa ja vaativat maksua bitcoineina, digitaalisena valuuttana, jota ei ole lainkaan niin helppoa seurata kuin normaalia rahaa.
Osansa on saanut myös kaapelikanava HBO, jonka järjestelmiin murtauduttiin kesän lopulla. Pahantahtoiset rikolliset saivat käsiinsä muun muuassa Game of Thronesin käsikirjoituksia ja spoilasivat koko internetin sarjan tapahtumista.
Kaikki tietoturvarikokset eivät kuitenkaan ole näin massiivisia. Kuka tahansa yksityishenkilökin voidaan hakkeroida. Sen lisäksi kuka tahansa yksityishenkilö voi opetella hakkeroimaan.
Hakkereista ja hakkeroinnista puhutaan julkisessa keskustelussa monesti suorastaan mystisinä hahmoina. Hollywoodin ja muiden tekijöiden elokuvat ovat luoneet kuvaa neroista, joiden liukkaasti koodaavilta sormilta eivät mitkään tietojärjestelmät ydinasekoodit mukaan luettuna ole turvassa.
Pelon ilmapiiri sai Sami Laihon alun perin siirtymään tietoturvakonsultoijaksi. Laiho on palkittu useissa eri tapahtumissa parhaana esitelmöijänä, ja tekee töitä eri firmojen neuvonantajana.
”Harmitti aina se, että kaikilla luennoilla tuotiin maailman turvattomin kone hakkeroitavaksi. 2016 esitetään, että näin helposti voidaan murtautua koneeseen, ja sitten siinä on käyttöjärjestelmänä Windows XP.”
Windows XP ilmestyi 2001 ja valmistajan Microsoftin tuki sille loppui jo 2013. Nykyoloissa käyttöjärjestelmä on siis erittäin turvaton.
Tietoturva-asiantuntijoista on huutava pula
”Kaikki lähtivät vaan peloissaan kamalan olon vallitessa niiltä luennoilta. Aina näytettiin, miten murtautua käyttöjärjestelmiin, muttei miten niitä varten suojautua. Minua alkoi pänniä niin paljon, että olen nyt viitisen vuotta konsultoinut asiaa”, Laiho kertoo.
Myös minun ostamani kurssin aikana hakkerointia harjoitellaan erityisesti hakkerointia varten rakennettuihin käyttöjärjestelmiin, joihin on tarkoituksella jätetty aukkoja, joista on helppo kiemurrella sisään. Kaikki käyttöjärjestelmät on asennettu samalle koneelle, tästä puhutaan yleisesti testilaboratoriona.
Hän ei usko, että hakkeroinnin osaaminen saa ihmisiä tekemään laittomuuksia
Netissä tarjottavia hakkerointikursseja Laiho ei pidä mitenkään huolestuttavina, pikemminkin päinvastoin.
”Siinähän vain kasvaa alasta kiinnostuneita ihmisiä, tietoturva-asiantuntijoista on huutava pula.”
Hän ei usko, että hakkeroinnin osaaminen saa ihmisiä tekemään laittomuuksia tai pahoja tekoja. Hän muistuttaa, että Youtubesta löytyvät ilmaiset neuvot, miten murtautua autoihin, eikä se ole johtanut murtoepidemioihin. Laiho on itsekin käynyt tiirikointikurssin, eikä ole harkinnut laittomuuksia, vaikka osaakin asian.
Laiholla on muutama hyvin yksinkertainen neuvo, joilla oman tietoturvansa saa kuntoon. Ensimmäinen on pitää oma tietoturvansa päivitettynä. Laihon mukaan lähes kaikki viime vuosien tietomurrot johtuvat siitä, että tietoturvapäivitykset ovat jääneet asentamatta.
”Sen voi ihan jokainen tehdä itse.”
Toinen neuvo on hiukan yllättävä. Laihon mukaan paras tapa suojautua kaikilta haittaohjelmilta on ottaa itseltään pääkäyttäjäoikeudet pois. Tämä pätee kaikkiin käyttöjärjestelmiin Windowsista Applen iOS:iin.
Sata prosenttia IE- ja Edge-selainten tietomurroista olisi voitu estää viime vuonna.
Laiho oli esimerkiksi Saudi-Arabiassa konsultoimassa paikallisia Shamoon-haittaohjelman torjunnassa. Hyökkäys saastutti 35,000 tietokonetta öljy-yhtiöllä. Virus ei olisi pystynyt tekemään mitään ilman pääkäyttäjäoikeuksia.
”Pääkäyttäjätunnukset antavat oikeuden kaikkeen tietokoneessa. Ne antavat myös oikeuden tuhota tietokoneen. Sata prosenttia IE- ja Edge-selainten tietomurroista olisi voitu estää viime vuonna, jos kenelläkään ei olisi pääkäyttäjäoikeuksia.”
Pääkäyttäjätunnuksia tarvitaan joidenkin ohjelmien asentamiseen, mutta Laiho itse on hoitanut ongelman pitämällä kaksia tunnuksia. Toinen on arkikäytössä ja toista, jolla on järjestelmänvalvojaoikeudet, käytetään vain tarpeen vaatiessa.
Käyttäjätunnuksia voi normaali ihminen vaihtaa salasanan muistamalla, mutta Laiho itse käyttää sormenjälkitunnistinta.
”Arkikäyttäjän tunnistaa etusormesta, pääkäyttäjän keskisormea näyttämällä”, Laiho nauraa.
Tietoturvariskitkin ovat muuttuneet vuosien aikana. Silloin, kun Laiho tuli alalle, virukset levisivät levykkeiden muodossa eikä rahalla kiristäminen ollut mahdollista, kun käytännössä ainoa mahdollisuus olisi ollut postittaa käteistä, mistä olisi tietysti jäänyt kiinni. Internet ja digitaaliset valuutat ovat mahdollistaneet kuitenkin rahalla kiristämisen.
Vuosia Windows ja etenkin sen selain, Internet Explorer, olivat pääkohteita tietomurroille. Nyt fokus on siirtynyt mobiililaitteisiin, etenkin Androidiin.
”Kävin katsomassa kavereita, jotka kirjoittavat työkseen hakkerointiohjelmia. Heitä ei kiinnostanut minun kysymykseni Windows kympistä, puhuivat vain Androidista”, Laiho hymähtää.
Päivässä ilmestyy 300 000 uutta haittaohjelmaa.
Ennen vanhaan virustorjunta oli reaktiivista. Ohjelmat tunnistivat haittaohjelmia, tunnistivat niiden ”sormenjäljen” ja sitten ohjelma voitiin torjua. Aikoinaan vuodessa tuli 35 000 haittaohjelmaa, joka oli Laihon mukaan vielä hoidettavissa oleva määrä. Nyt päivässä ilmestyy 300 000 uutta haittaohjelmaa.
Virustorjuntaohjemia ei silti kannata heittää Laihon mukaan romukoppaan. Paras on pitää ne päivitettynä, sillä vaikka ne päivittyisivät viikon myöhässä, ne silti suojaavat yleisesti ottaen hyvin.
Muita tärkeitä vinkkejä Laiholta tietoturvaan on pitää eri salasana joka paikkaan. Laihon ystävä, australialainen Troy Hunt, pitää yllä haveibeenpwned.com -sivustoa, jolla voi käydä tarkistamassa ovatko esimerkiksi omat sähköpostitiedot vuotaneet hakkereille.
Jos taas minulla olisi sama salasana kaikkialle, niin kuin ihmisillä yleensä on, se olisi katastrofi.
Tarkistin ja omani oli: salasanani oli vuotanut hakkereille 2015 Nexus-pelifirman tietomurrossa. Edes tietoturva-asiantuntija Laiho ei ole ollut immuuni asialle.
”Salasanani on varastettu kahdesti, mutta se ei haittaa minua, koska minulla on jokaiselle sivulle eri salasana. Tarvitsee vain käydä vaihtamassa se kerran. Jos taas minulla olisi sama salasana kaikkialle, niin kuin ihmisillä yleensä on, se olisi katastrofi.”
Vielä viisi vuotta sitten tietoturva-asiantuntijat vastustivat kiihkeästi salasananhallintasovelluksia. Laiho kuitenkin suosittelee niitä lämpimästi kaikille, kuten muutkin tietoturva-asiantuntijat.
Laiho itse käyttää LastPass -nimistä sovellusta. Maksullinen sovellus muistaa salasanasi ja kirjautuu puolestasi palveluihin.
Salasanoja suositellaan vaihdettavaksi vain, jos on syytä epäillä tietomurtoa.
Laihon mukaan salasanoissa tärkeintä on se, että ne ovat jo valmiiksi tarpeeksi vahvoja. On myös tärkeää puhua nimenomaan vahvoista salasanoista asenneilmapiirin takia.
”Ihmisille ei pidä sanoa, että salasanojen pitää olla vaikeita, se aiheuttaa heti inhoreaktion.”
Monessa organisaatiossa on pidetty vuosia systeemiä, jossa salasana vaihdetaan 90 päivän välein. Nyt siitäkin on kuitenkin alettu luopua, ja salasanoja suositellaan vaihdettavaksi vain, jos on syytä epäillä tietomurtoa.
Koen saaneeni tarpeeksi tietoa ryhtyäkseni itse kokeilemaan hakkerointia. Uhrikseni olen valinnut ensin oman iPadini, ja sen jälkeen vapaaehtoiseksi uhriksi suostuneen ystäväni, Sonja Hakkaraisen, koneen.
Hakkerointikurssissani on 12,5 tuntia videoluentoja sekä useampi artikkeli luettavaksi. Osan näistä videoista joudun katsomaan useampaan kertaan, sillä toimin aivan uusissa ympäristöissä.
Monet normaalit pöytäkoneet vastustelevat tehokkaasti tutkimista eikä niistä löydy minun taidoillani käytettäviä tietoturva-aukkoja
Hakkerointia ei tehdä yleisesti ottaen Windows- tai iOS-käyttöjärjestelmillä, vaan joudun asentamaan koneeseeni aivan uuden käyttöjärjestelmän, jota käytetään vain hakkerointiin, nimeltään Kali Linux. Intialaisen kuoleman jumalan mukaan nimetty käyttöjärjestelmä vaatii hiukan opettelua.
Laitan päälle ohjelman, jolla voi katsella läheisten koneiden potentiaalisia turvallisuusuhkia ja päätellä myös niiden malleja. Huomaan nopeasti, että Laiho oli oikeassa mobiilialustojen vaaroista.
Monet normaalit pöytäkoneet vastustelevat tehokkaasti tutkimista eikä niistä löydy minun taidoillani käytettäviä tietoturva-aukkoja, mutta iPhonet ja Android-laitteet pomppivat esille, samoin kuin aukinaiset reitit niiden sisälle.
Sosiaalinen hakkerointi näyttelee isoa osaa nettikurssini opetusta.
Vilkaisen lähempää yhtä puhelinta, jonka tietoliikenne on kaikista avoin. Kaikki yhteydenotot näkyvät ohjelmassani, mutta malli on tuntematon.
Pienen tutkiskelun jälkeen totean kyseessä olevan Kortepohjan ylioppilaskylän lankapuhelin, joka toimii ilmeisesti netin kautta.
Tämän jälkeen hakkeroin onnistuneesti oman tablettini. Luon viidessä minuutissa oman feikkisivustoni, jota selaan iPadillani. Muutamalla napinpainalluksella pääsen sisään ja voitonmerkkinä otan hakkerikoneellani kuvia iPadini kameralla.
Helppoa kuin heinänteko, mikä ehkä johtuu kylläkin siitä, että laiskuuttani en ole päivittänyt muutamaan vuoteen tablettiani, toisin kuin Laiho suositteli.
On siis aika testata, kuinka Hakkaraisen koneen voisi hakkeroida. Luon suunnitelman, jonka uskon yhdistävän parhaalla tavalla amatööritason hakkerointikeinoni ja sosiaalisen hakkeroinnin.
Sosiaalinen hakkerointi näyttelee isoa osaa nettikurssini opetusta. Siinä tietoturva-aukkoja etsitään vanhanaikaisella huijaamisella, esimerkiksi esittämällä jotakuta toista ihmistä.
Harva ihminen nykyään aukaisee .exe -päätteistä tiedostoa tuntemattomasta lähteestä, mutta jos sen sinulle lähettää ”konsultti” tai ”luotettu ystävä”, saatat sen tehdäkin.
Tässä vaiheessa tulee iso ongelma vastaan, sillä facebook tunnistaa tiedoston hyvin kyseenalaiseksi.
Saatuani ystäväni IP-osoitteen selville ystävällisesti kysymällä aivan toiseen asiaan liittyen, alan töihin. Luon hakkerointiohjelmallani madon, jonka avulla voin saada hänen koneensa ainakin teoriassa hallintaan.
Sen jälkeen naamioin sen selfieksi itsestäni, ja koitan lähettää sitä Hakkaraiselle facebookin chatissa. Tässä vaiheessa tulee iso ongelma vastaan, sillä facebook tunnistaa tiedoston hyvin kyseenalaiseksi, eikä suostu lähettämään sitä eteenpäin. Koitan lähettää kuvan gmail-sähköpostillani, mutta törmään samaan ongelmaan.
Lopulta joudun lataamaan ohjelmani pieneen pilvipalveluun ja ystävällisesti pyytämään Hakkaraista kopioimaan sen itselleen sieltä ja avaamaan, minkä hän tekeekin, hiukan huvittuneena epäonnistuneista yrityksistäni.
Oman ikivanhan tablettinsa hakkerointia ei voi pitää kovin merkittävänä saavutuksena.
Avaamisen yhteydessä hänen päivitetty Windowsinsa vastustelee tiedoston avaamista ainakin kolmeen kertaan, vaatien joka kerran järjestelmänvalvojan oikeuksia.
Tässä vaiheessa suunnitelmani saavuttaa loogisen huippunsa: Tarkoitukseni oli esittää testaavani hakkerointia ja esittää, että ohjelma, jonka Sonja juuri latasi ei toiminutkaan.
Suunnitelma sujuu muuten täydellisesti, mutta valitettavasti ohjelma ei myöskään oikeasti toimi. Olen tehnyt kriittisen virheen jossain vaiheessa. Toinen yritys tuottaa samanlaisia ongelmia, eikä onnistu.
Lasken käyttäneeni noin 30 tuntia hakkeroinnin opetteluun, eivätkä tulokset ole päätähuimaavia. Oman ikivanhan tablettinsa hakkerointia ei voi pitää kovin merkittävänä saavutuksena.
Huomaan myös, että käymäni kurssi on selvästi tarkoitettu hiukan vanhemmille käyttöjärjestelmille kuin nykymaailmassa useilla on. Esimerkeissä tehtävä Windows 7-käyttöjärjestelmän hakkerointi näyttää sujuvan huomattavasti helpommin kuin modernimpien Windows 10-järjestelmien.
Ennakkotutkimuksissani puhelimet näyttivät helpommilta kohteilta, mutta kurssi ei opeta oikeastaan kunnolla niihin tunkeutumista.
Uskallan siis väittää, että vaikka hakkerointikursseja on saatavilla hyvin huokealla tai jopa ilmaiseksi netissä, se ei ole varsinaisesti mikään riski kenenkään kyberturvallisuudelle.
Kommentointimahdollisuus on poistettu käytöstä, mutta alta näet aiemmat kommentit.
onni
mkl h
27.5.2020
miksu470
haluan ammattihackeriksi
10.3.2021