Duunitorin ohjelmistokehittäjä Jerry Salonen ajautui sattumalta uralle, josta kasvoi myös tärkeä harrastus. Nyt hän kertoo, miksi ala vei mennessään – ja mitä kaikkien pitäisi ymmärtää hakkereista ja tietoturvasta.
Artikkeli on julkaistu ensimmäisen kerran 17.11.2020.
Jerry Saloselle koodaaminen ei ollut rakas harrastus, josta syntyi ura. Hän päätyi teknologia-alalle vahingossa.
Lukiossa Salonen ihmetteli, mitä oikein tekisi elämällään. Kaveri opiskeli tieto- ja viestintätekniikkaa ja tykkäsi opinnoistaan.
”Ajattelin, että ok, se menee ykköseksi”, Salonen kuvailee ammatinvalintaansa.
Umpimähkään tehty valinta osoittautui fiksuksi – eikä vain siksi, että teknologia-alalla on tarjolla runsaasti töitä ja mukavat palkat.
”Koulun ekassa periodissa huomasin, että nyt löytyi kutsumus. Jokin vain klikkasi koodiin tuijottamisessa ja sen kirjoittamisessa. Huomasin pian, että olen hyvä siinä.”
Nyt ohjelmointi on työn lisäksi harrastus. Kun Salonen sai eväät hauskojen juttujen toteuttamiseen, hän alkoi leikkiä koodilla myös vapaa-ajalla. Hän tykkää tehdä esimerkiksi pelejä ja nauttii, kun saa hahmot vaikkapa hyppimään.
Koodarin työ on luovaa ongelmien ratkomista
Ohjelmoinnissa Jerry Salosta kiehtoo kiinnostava ajatustyö.
”Tässä yhdistyy jännästi luovuus, ongelmanratkaisu ja loogisuus.”
Koska ohjelmointi on oma maailmansa, jolla on omat kielensä, työtä on vaikeaa pukea sanoiksi. Salonen yrittää: Kun koodia katsoo kauempaa, muodostuu isompi kuva, jota pitää tarkastella luovasti. Kun pätkä koodia tekee yhden asian, se ei itsessään ole juuri mitään. Logiikkaa on se, miten palaset sopivat yhteen.
Toinen hyvä puoli: kun koodin maailmassa osaa luovia, saa valtaa teknologiaan.
”Ohjelmoinnissa kiehtoo ajatus siitä, että pystyn saamaan tietokoneen tekemään täsmälleen sitä, mitä haluan sen tekevän.”
”Aina voi ladata muiden tekemiä ohjelmia, mutta jos haluaa saada täyden kontrollin, pitää ohjelma koodata itse. Silloin on oman laitteensa herra.”
Salonen on Web Developer tai tuttavallisemmin devaaja, eli suomeksi ohjelmistokehittäjä. Työssään Duunitorilla hän tekee koodia, joka pyörittää Suomen suurinta työnhakupalvelua.
Merkityksellinen on ollut esimerkiksi projekti, jossa kehitetään uudenlaista työnhakutapaa. Ideana on, että työtä voi hakea nopeasti ja helposti vaikkapa puhelimella bussissa.
Hyvät pahat hakkerit
Keskustelu hakkereista ja tietoturvasta käy kuumana psykoterapiakeskus Vastaamon tietomurron vuoksi. Tietoturva konkretisoitui, kun arkaluonteiset potilastiedot vuotivat kiristäjälle.
Jerry Salonen on kokeillut laillista hakkerointia ja perehtynyt aiheeseen. Hän olisi kaivannut Vastaamolta avoimuutta.
”Yritys tiesi murrosta liian pitkään ennen kuin julkisti asian. Heti kun tiedon saa, pitäisi aloittaa korjaaminen ja kriisinhallinta: jakaa tieto ja kantaa vastuu. Liian usein kuulee, että oli taitavat hakkerit ja meidän hyvät järjestelmät murrettiin. Jos murto ei ole tapahtunut organisaation sisältä, on kyse järjestelmän heikkoudesta ja siitä, ettei ihmisiä ole koulutettu tarpeeksi.”
Tietoturvaan liittyy kaikki palvelinten toiminnasta siihen, miten henkilökuntaa on koulutettu aiheesta – vaikkapa neuvottu olemaan klikkaamatta epäilyttäviä linkkejä. Murtautuja voi upottaa linkkiin tai pdf-tiedostoon haittaohjelman, joka asentaa uhrin koneelle työkalun. Sen avulla hakkeri voi päästä esimerkiksi työpaikan sisäverkkoon, etuoikeutetummalle koneelle ja tietokantaan.
Hakkerointi on hyökkäävää tietoturvaa, Salonen luonnehtii.
”Tietoturva taas kuuluu jokaisen kehittäjän työhön – jokaisella meistä on vastuu kirjoittaa koodia turvallisesti.”
Jos koodin logiikkaan jää virhe, sitä voi käyttää hyväksi. Salonen antaa esimerkin: Hänen suosimassaan ravintolassa on tarjous kahden desin lounasoluesta. Jos hän tilaa kaksi niitä ja pyytää ne yhteen tuoppiin, hän saa halvemman oluen kuin ostaessaan neljän desin tuopin. Kyseessä on hinnoittelulogiikan virhe, jonka vuoksi hän pääsee halvemmalla.
Teknologiaa siis hyväksikäytetään niin, että lopputulos on murtautujalle mieluinen ja järjestelmän haltijalle epämieluinen. Tällaiset porsaanreiät altistavat tietomurroille.
Hakkerointi auttoi työnantajaa
Ilman lupaa hakkeroiminen on rikos. Toisinaan organisaatio palkkaa jonkun hyökkäämään järjestelmäänsä ja löytämään sen epäkohdat. Osa hyvää tarkoittavista valkohattuhakkereista tekee työtään oma-aloitteisesti – eräänlaisena vapaaehtoistyönä.
Koodistoon kuuluu, että kun löytää tietoturva-aukon, kertoo siitä organisaatiolle eikä muille. Tätä kutsutaan vastuulliseksi haavoittuvaisuuden ilmoittamiseksi.
Aiemmin tänä vuonna Salonen pisti päähänsä valkoisen hatun ja hyökkäsi itsenäisesti oman työpaikkansa järjestelmään.
Hän kokeili upottaa omalla koneellaan työpaikkailmoituksen tekstiin koodia, jonka ilmoituksen lukijan kone suorittaa. Salonen huomasi, että näin kävi, kun ilmoitusta katseli. Koska kokeilu onnistui, hän tiesi löytäneensä vaaran.
Kyseessä on klassinen haavoittuvuus: cross-site scripting, jonka avulla voi syöttää koodia ja siten tunkeutua verkkosivulle. Jos Salonen ei olisi huomannut aukkoa, hakkeri olisi voinut päästä käsiksi esimerkiksi ilmoituksen lukijan evästeisiin tai kiertämään sivuston pääsynhallinnan.
Salonen lähetti tiimilleen heti viestiä ongelmasta. Muut huomasivat, että löydös pitää paikkansa. Salonen ja hänen kollegansa alkoivat selvittää asiaa, ja pian se oli korjattu. Jo samana päivänä Duunitorista julkaistiin uusi versio, jossa ei enää ollut tietoturva-aukkoa.
3 yleistä harhaluuloa hakkereista
1. Hakkeri on aina roisto
Hakkerilla on sanana kovin kielteinen klangi, ja se harmittaa Jerry Salosta.
”Ensimmäisenä tulevat mieleen mustahatut ja kyberrikolliset. Hakkeri tarkoittaa ihmistä, joka käyttää laitteita ja ohjelmistoja väärin – taustalla voi olla myös hyvä tarkoitus.”
Esimerkiksi Vastaamon tapauksessa valkohattuhakkerit ovat auttaneet selvittämään tietomurtoa.
2. Hakkeroinnista pitää vaieta
Yleensä organisaatio ei huutele julkisesti, että hyödyntää hakkereita – tai että on joutunut hyökkäyksen kohteeksi. Vastaamokin päätyi salailemaan murtoa turhan pitkään. Tieto kuitenkin kehittäisi järjestelmiä ja lisäisi ymmärrystä tietoturvasta.
Kaikki eivät onneksi ole vain salamyhkäisiä. Jotkin yritykset joukkoistavat haavoittuvuuksien etsimisen julkisesti. Esimerkiksi Tesla ja Facebook sallivat säännöllisesti palveluihinsa hyökkäämisen tiettyjen sääntöjen puitteissa. Silloin kuka vain voi metsästää haavoittuvaisuuksia, ja löytäjät palkitaan.
3. On vaarallista opettaa hakkerointia
Salonen on törmännyt toistuvasti käsitykseen siitä, että hakkerointia ei pidä missään nimessä opettaa.
”Ajatus on hölmö. Miten muuten saadaan hyviä tyyppejä puolustamaan tietoturvaa? Pitää ymmärtää, miten murto onnistuu. Rikolliset kyllä keksivät keinonsa opetuksesta riippumatta.”
Salonen olisi kaivannut omiin opintoihinsa lisää asiaa tietoturvasta – ja toisaalta ymmärrystä ihan kaikille. Nykyään moni on herännyt ottamaan selvää tekoälystä, ja Helsingin yliopisto on kehittänyt työelämän tarpeeseen suositun Elements of AI -kurssin. Voisiko tietoturvasta tulla samanlainen trendi?
”Esimerkiksi kalasteluhyökkäysten tunnistaminen ja salasanakäytönnöt ovat todella tärkeitä. Tietoturvan heikoin lenkki on aina ihminen.”
Laiminlyötkö sinäkin tietoturvan?
Jerry Salonen antaa neljä yksinkertaista vinkkiä, joilla jokainen voi parantaa omaa ja työnantajansa tietoturvaa merkittävästi:
- Perusasia on retuperällä lähes jokaisella: Joka paikassa on oltava eri salasana, jossa on erilaisia merkkejä. Salonen suosittelee hauskaa lausetta, jossa ei ole mitään järkeä ja joka jää mieleen, esimerkiksi K€ltainenAp1naS0ittaaAuto@. Salasanan pituus on tärkein puolustus. Hän kehottaa kokeilemaan myös salasanapankkia, jota käyttäessä tarvitsee muistaa vain yksi salasana ja ohjelma kehittää palveluihin satunnaiset ja erittäin vaikeasti murrettavat salasanat.
- Vaikka sähköposti tai tekstiviesti vaikuttaa kuinka luotettavalta, siitä ei kannata klikata linkkiä. Turvallisinta on mennä itse palveluntarjoajan nettisivuille osoitekenttään kirjoittamalla. Muista, ettei kukaan ei kysele salasanaasi tai muita luottamuksellisia tietoja sähköpostissa.
- Älä lataa tiedostoa, jos et ole varma lähettäjästä – ja huomioi, että joku voi esittää tuttua lähettäjää. Jos kanava ei ole tyypillinen tai ette ole aiemmin puhuneet tiedoston lähettämisestä, on syytä olla varovainen. Tämä saattaa tuntua hölmöltä, mutta voit kysyä esimerkiksi, lähettikö tuttu sinulle kyseisen tiedoston.
- Pidä laitteesi ajan tasalla – asenna ehdotetut päivitykset heti. Ne sisältävät aina myös tietoturvapäivityksiä, ja hyökkäykset keskittyvät usein vanhentuneisiin laitteisiin.
Viimeisenkin kohdan taustalla vaikuttavat hakkerit, joista valtaosa uurastaa ilman vaivanpalkkaa. Kun yritys saa tietää tietoturvaongelmasta, korjaa sen ja julkaisee uuden version, asiantuntijat ja harrastelijat alkavat tutkia asiaa. Näin he näkevät, mitä päivitys korjaa ja missä on ollut aukko tietoturvassa.
Valkohattuhakkerit ajavat siis jatkuvasti sinunkin asiaasi.
Lue myös:
”Mikä ihmeen devaaja?” – 8 yleisintä kysymystä koodaamisesta ja vastaukset niihin
Aino Salonen
Lisää kirjoittajastaJaa artikkeli:
Jaa Facebookissa
Twiittaa
Jaa LinkedInissa
Sähköposti
Uutiskirje
Tietopaketti yrittäjäksi aikovalle
