EETTINEN HAKKEROINTI

Johdanto

Useimpien organisaatioiden toiminta on riippuvaista tietojärjestelmistä ja niiden sisältämästä tiedosta. Tiedon pitää olla saatavilla aina tarvittaessa niille, jotka ovat tietoon oikeutettuja. Tiedon pitää myös olla luotettavaa ja muuttumatonta. Tietoturvallisuudella tarkoitetaan erilaisia järjestelyjä ja käytäntöjä, joilla pyritään varmistamaan tiedon saatavuus, eheys ja luottamuksellisuus.

Hakkeri on henkilö, joka tunkeutuu luvatta tietoverkkoon tai tietojärjestelmään tai käyttää luvatta tietoa, ohjelmaa tai palvelua (Tietotekniikan termitalkoot 2004). Eettinen hakkeri puolestaan hyödyntää osaamistaan tietoverkon tai tietojärjestelmän omistajan pyynnöstä, pyrkien etsimään ja raportoimaan järjestelmistä heikkoja kohtia ja haavoittuvuuksia. Näin ainakin osa tietoturvauhkista saadaan poistettua, ja mahdollisesti estetään kokonaan järjestelmän väärinkäyttömahdollisuudet.

Tekstissä kerrotaan mitä eettinen hakkerointi on, mihin sitä tarvitaan ja mitä hyötyä siitä on. Tekstissä myös perusteellaan eettisen hakkeroinnin käyttöä esimerkiksi tietojärjestelmähankkeissa sekä kerrotaan eettisestä hakkeroinnista liiketoimintana sekä eettisen hakkeroinnin koulutustarjonnasta.

Määritelmä ja tarkoitus

Hakkeri tunkeutuu luvatta tietoverkkoon tai tietojärjestelmään tai käyttää luvatta tietoa, ohjelmaa tai palvelua (Tietotekniikan termitalkoot, 2004). Eettinen hakkeri puolestaan hyödyntää osaamistaan tietoverkon tai tietojärjestelmän omistajan pyynnöstä, etsien ja osoittaen järjestelmistä heikkoja kohtia ja haavoittuvuuksia. Eettistä hakkeria saatetaan kutsua myös nimellä ”White Hat” ja vihamielinen hakkeria nimellä ”Black Hat”. Näiden kahden väliin osuu ”Grey Hat” -tyyppiset hakkerit, joka etsivät tietoturva-aukkoja ilman vahingontekotarkoitusta, mutta ilman järjestelmän omistajien lupaa. (Puhakka 2013, s. 8).

Ensimmäistä kertaa eettinen hakkerointi -termiä käytettiin Yhdysvalloissa 1970-luvulla puolustusvoimien tekemissä selvityksissä, joissa kohteena oli Multics-käyttöjärjestelmän tietoturvallisuus (Palmer 2001). Laajempaan tietoisuuteen asia tuli kaksi vuosikymmentä myöhemmin 2.12.1993, jolloin Dan Farmer ja Wietse Venema julkaisivat internetin Usenet-palvelussa artikkelinsa ”Improving the security of your site by breaking into it”. Artikkeli oli suunnattu ylläpitäjille ja siinä käsiteltiin hakkerointi-tekniikoiden hyödyntämistä tietojärjestelmän turvallisuuden kehittämiseksi.

Eettisen hakkeroinnin tarkoituksena on löytää haavoittuvuudet ja heikot kohdat tietojärjestelmissä, ennen kuin järjestelmiin murtaudutaan, niitä väärinkäytetään tai niiden toiminta estetään. Ohjelmistoista etsitään heikkouksia esimerkiksi syötteen tarkistuksessa tai tietoliikenteen salauksessa.

Eettisen hakkeroinnin tarkoituksena on myös muuttaa tietojärjestelmän tai tietoverkon omistajan ja ylläpitäjän käsitystä järjestelmän turvaamisesta. Ylläpidolliset toimet perustuvat usein vakiintuneisiin käytäntöihin ja standardeihin. Tietojärjestelmiin hyökkäävä rikollinen ei standardeista välitä, paitsi selvittäessään sitä, kuinka järjestelmä on todennäköisesti suojattu.

Laillisuus

Eettisen hakkeroinnin taustalla on aina tietojärjestelmän omistajan lupa. Ilman etukäteen tehtyä sopimusta jo tietomurron yrittäminen on rikos. Eettinen hakkeri työskentelee usein tietoturva-alan yrityksessä, joka myy asiakkailleen haavoittuvuustestausta. Monissa isommissa IT-alan yrityksissä, esimerkkeinä IBM ja HP, on haavoittuvuustestauksiin erikoistuneita palveluyksiköitä. Henkilöstöriskejä välttääkseen useimmat tietoturva-alan yritykset eivät palkkaa entisiä hakkereita, jotka ovat jääneet kiinni rikoksesta. Näin toteaa esimerkiksi Pohjoismaiden suurin tietoturvakonsultoinnin asiantuntijayritys Nixu Oy. (Nixu 2012). Käytännöllä pyritään myös vaikuttamaan alalle pyrkivien ja alalla työskentelevien etiikkaan ja näin edesauttamaan sitä, että ”White Hat” pysyy valkoisena, vaikka osaisikin samat temput kuin ”Black Hat”. Toisaalta tunnetaan myös useita tapauksia, joissa entinen ”Black Hat” tuomionsa kärsittyään siirtyy hyödyntämään taitojaan laillisessa liiketoiminnassa. Tunnetuimpana esimerkkinä lienee erityisesti sosiaalisen hakkeroinnin taidoillaan tietomurtoja tehtaillut Kevin Mitnick. (Halminen 2013).

Eettisen hakkeroinnin projekteissa määritellään tarkasti testauslupa, jonka avulla testausta eettinen hakkeri välttää mahdolliset väärinkäytössyytökset. Projektissa testataan vain niitä järjestelmiä, joiden testauksesta on sovittu. Tietoturvatestaajien piirissä testauslupaa kutsutaan leikkisästi nimellä ”vapaudu vankilasta” -kortti.

Eettinen hakkeri voi olla myös työrooli organisaatiossa. Esimerkiksi järjestelmä- tai tietoturva-asiantuntijan yhtenä työtehtävänä voi olla organisaation omien järjestelmien testaaminen ja tutkiminen haavoittuvuksien ja virheellisten määritysten löytämiseksi.

Keinot

Eettinen hakkerointi sisältää samoja keinoja ja välineitä, joita verkkorikolliset käyttävät. Eettisestä hakkeroinnista voidaan käyttää myös nimeä penetraatiotestaus. Ohjelmistojen haavoittuvuuksia etsitään sekä tarkoitusta varten kehitetyillä työkaluilla, että kokemukseen, osaamiseen ja luovuuteen perustuen. Eettinen hakkerointi voi kohdistua joko yhteen yksittäiseen järjestelmään tai laajemmin organisaation tietojärjestelmiin ja tietoliikenneverkkoihin.

Teknisiin järjestelmiin kohdistuvan penetraatiotestauksen lisäksi eettinen hakkerointi voi kohdistua työntekijöihin ja organisaation käytäntöihin, jolloin puhutaan yhdestä sosiaalisen hakkeroinnin osa-alueesta. Sen keinoin voidaan esimerkiksi pukeutua huoltomieheksi, tarkistajaksi tai myyntiedustajaksi ja testata, pystytäänkö vakuuttavasti pukeutumalla ja käyttäytymällä huijaamaan organisaation työntekijöitä. Tarkoituksena voi olla esimerkiksi testata pääseekö organisaation laite- tai arkistotiloihin, tai pystyykö organisaation tietoverkkoon liittämään ulkopuolisen tietoteknisen laitteen.

Eettisen hakkeroinnin tuloksena laaditaan raportti, jossa testatut järjestelmät ja havaitut asiat selvitetään ja havaituille ongelmille esitetään ratkaisumallit (Palmer 2001). Raportti on useimmissa tapauksissa salainen, sillä se sisältää mahdollisesti organisaation tietojärjestelmät tai organisaation toiminnan vaarantavia tietoja.

Eettisen hakkeroinnin hyödyt tietojärjestelmähankkeissa

Tietoturvan toteuttaminen on haasteellista useimmissa tietojärjestelmähankkeissa. Tietoturvaturva huomioidaan usein liian myöhään, jolloin sen toteuttaminen on kallista tai jopa mahdotonta. Mitä varhaisemmassa vaiheessa hanketta tietoturva huomioidaan, sitä yksinkertaisempi ja edullisempi se on toteuttaa. Ohjelmistovirheen korjaaminen ohjelmointivaiheessa saattaa maksaa jopa 640 kertaa vähemmän kuin ohjelmiston julkaisemisen jälkeen (Jones 1996).

Eettisen hakkeroinnin keinoja voidaan hyödyntää useimmissa järjestelmäkehityksen vaiheissa. Tietojärjestelmän määrittelyvaiheessa voidaan pohtia mahdollisia väärinkäytön mahdollisuuksia. Suunnitteluvaiheessa tietoturvaa voidaan huomioida riskianalyysin näkökulmasta, samoin kuin testaussuunnitelmia laadittaessa. Ohjelmointivaiheessa ohjelmakoodia voidaan testata erilaisilla työkaluilla. Testausvaiheessa järjestelmästä etsitään heikkoja kohtia ja haavoittuvuuksia. Tietoturvatestaukset toistetaan ohjelmiston elinkaaren eri vaiheissa.

Eettisen hakkeroinnin avulla pystytään myös varmistamaan, että esimerkiksi tietojärjestelmän palvelinympäristön käyttöjärjestelmäpäivitykset tai palvelin-sovelluksien uudet versiot eivät huomaamatta heikenna tietoturvallisuutta.

Eettinen hakkerointi liiketoimintana

Eettinen hakkerointi on myös markkinointitermi. Eräs tätä termiä markkinoinnissaan käyttävä yritys on vuonna 1989 perustettu Lontoossa toimiva First Base Technologies, jonka toiminta-ajatuksena on yhdistää eettistä hakkerointia ja kaupallisia haavoittuvuustestauksia. (First Base Technologies). Suomessa esimerkiksi Nixu Oy, Second Nature Security (entinen Louhi Security), Codenomicon ja KPMG Oy tarjoavat eettisen hakkeroinnin palveluita. Nixu Oy käytti mainonnassaan eettisen hakkerin termiä vielä muutama sitten (Nixu 2012). Sittemmin termiä ei enää löydy Nixun verkkosivuilta, olettavasti siksi, että hakkeri-termiä käytetään julkisuudessa paljon tietomurtojen yhteydessä, ja se voisi herättää negatiivisiä mielleyhtymiä yhä kasvavassa ja monipuolistuvassa asiakaspiirissä.

Kysynnän kasvaessa eettisen hakkeroinnin palveluja tarjoamaan syntyy jatkuvasti uusia tietoturva-alan yrityksiä. Jotta kirjavat käytännöt ja alalle vaillinaisin tiedoin ja osaamisin pyrkivät yritykset saataisiin kuriin, niin alalle on alettu kehittämään omaa penetraatiotestauksen standardia nimeltä PTES (Penetration Testing Execution Standard), jonka avulla pyritään luomaan minimivaatimukset penetraatiotestauksen sisällölle ja raportoinnille. (PTES 2013).

Eettinen hakkeroinnin koulutustarjonta

Eettisessä hakkeroinnissa tarvittavia taitoja voi opiskella esimerkiksi yliopistoissa sekä kaupallisten koulutusorganisaatioiden kursseilla. Suomessa Certfied Ethical Hacker (CEH) ja Certified Professional Ethical Hacker (CPEH) -kursseja tarjoavat esimerkiksi Firebrand Training Nordic A/S ja Arrow ECS Finland Oy. Kurssit ovat ovat suosittuja, esimerkiksi Arrow ECS:n järjestämä CEH v8 -kurssi myytiin loppuun sekä lokakuussa 2013 (Tietoturva ry 2013) että maaliskuussa 2014 (Arrow ECS 2014).

Skotlannissa Dundeessa Abertay University käynnisti vuonna 2006 ensimmäisen nelivuotisen BSc- tasoisen ”Ethical Hacking and Countermeasures” koulutuskokonaisuuden. Yliopisto perustelee kurssia sanonnalla ”it takes a thief to catch a thief”, mutta toteaa samalla että tarkoitus ei ole kasvattaa rikollisia. (BBC 2006). Yhä edelleen tarjolla olevan koulutuksen ensimmäisenä vuonna opinnot keskittyvät perustietojen kartuttamiseen; ohjelmointiin, logiikkaan, tietoliikenneverkkoihin ja tietokoneisiin sekä niiden tietoturvan. Tärkeänä osana opintoja heti alkuvaiheessa ovat myös sosiaaliset ja eettiset kysymykset, jotta opinnoissa karttuneita taitoja ei käytettäisi väärin. Toisena vuonna opintoihin kuuluu tietokonetekniikan ja tietoliikenteen kursseja, tietojen hallintaa sekä sovellettua matematiikkaa ja mallinnusta. Vasta kolmantena vuonna käynnistyvät varsinaiset eettisen hakkeroinnin, forensiikan ja tietoturvamekanismien kurssit. Neljäs vuosi pitää sisällään mm. penetraatiotestausta, biometriikkaa ja kryptografiaa. (Abertay 2014). Suomessa esimerkiksi Teknillinen korkeakoulu järjesti vuosina 1997-2003 kolmen opintoviikon mittaisen hakkerikurssiksi kutsutun ”Tietojärjestelmien käytännön turvallisuuden erikoiskurssin”. (Digitoday 2006). Tampereen teknillinen yliopisto tarjoaa Porin yksikössä edelleen 4 opintopisteen kurssia nimellä ”Eettinen hakkerointi”. (TTY 2012). Yliopistoista erityisesti TTY:llä ja Jyväskylän yliopistossa on tarjolla runsaasti erilaisia tietoturvakursseja, myös automaation turvallisuuteen ja kyberturvallisuuteen liittyen. Ammattikorkeakouluista erityisesti JAMK on panostanut tietoturvallisuuden koulutukseen.

Yhteenveto

Eettisellä hakkeroinnilla on tärkeä merkitys tietojärjestelmien tietoturvallisuuden kehittämisessä. Etsimällä haavoittuvuudet ennen järjestelmän käyttöönottoa voidaan ehkäistä mahdollisten tietomurtojen aiheuttamia tietovuotoja. Samalla huolehditaan järjestelmään tallennetun tiedon eheydestä ja saatavuudesta. Eettinen hakkerointi voi kuulua osaavan työntekijän toimenkuvaan tai se voidaan ostaa palveluna tietoturva-alan yrityksiltä.

Mitä varhaisemmassa vaiheessa tietojärjestelmäkehitystä tietoturva huomioidaan, sitä helpommin ja edullisemmin tietoturva on toteutettavissa. Tietojärjestelmän suunniteltua käyttöönottoajankohtaa on usein siirrettävä ohjelmakoodin tarkistamiseksi ja korjaamiseksi, jos järjestelmän haavoittuvuudet kartoitetaan vasta käyttöönotto-vaiheessa. Pahimmassa tapauksessa ohjelmointityö on tehtävä kokonaan uudelleen.

Eettinen hakkerointi tai eettinen hakkeri -termien käyttöä on alettu vähentämään markkinoinnissa. Esimerkiksi suomalaisen Nixu Oy:n kotisivuilta ei enää löydy eettinen hakkeri -termiä lainkaan. Eettisen hakkeroinnin kurssien paikat myydään sen sijaan toistuvasti loppuun. Eettisille hakkereille on siis kysyntää.

Lähteet

Abertay. 2014. Ethical Hacking. Abertay University. [WWW]. [Viitattu 2.3.2014]. Saatavissa: http://www.abertay.ac.uk/studying/find/ug/ethhac/

Arrow ECS. 2014. CEH v8 -kurssille ilmoittautuminen. [WWW]. [Viitattu 2.3.2014]. Saatavissa: http://www.tietoturva.fi/index.php?option=com_dtregister&Itemid=0&eventId=69&controller=event&task=individualRegister

BBC News. 2006. Computer course to teach hacking. [WWW]. [Viitattu 2.3.2014]. Saatavissa: http://news.bbc.co.uk/2/hi/uk_news/scotland/tayside_and_central/5094044.stm

Digitoday. 2006. TKK:lla opiskelee jopa 50 eettistä hakkeria vuodessa. [WWW]. [Viitattu 2.3.2014]. Saatavissa: http://www.digitoday.fi/tietoturva/2006/09/14/tkklla-opiskelee-jopa-50-eettista--hakkeria-vuodessa/200612273/66

Halminen, L. 2013. Hakkeri, joka piti Nokiaa ja FBI:tä pilkkanaan. 28.9.2013. Helsingin Sanomat. [WWW]. [Viitattu 10.3.2014.] Saatavissa: http://www.hs.fi/tekniikka/a1380259618181

Jones, C. 1996. Applied Software Measurement, assuring productivity and quality. Second edition. Hightstown, McGraw?-Hill Inc. 618 s.

Nixu Oy. 2008. Penetraatiotestaus. [WWW]. [Viitattu 1.3.2014]. Saatavissa: http://web.archive.org/web/20120302165326/http://www.nixu.fi/tietoturvapalvelut/tietoturvatarkastus/penetraatiotestaus/

Palmer, C.C.. 2001. Ethical hacking. IBM Systems Journal. [verkkolehti]. Vol 40, No 3. [Viitattu 30.9.2012]. Saatavissa: http://pdf.textfiles.com/security/palmer.pdf

PTES. 2013. PTES Technical Guidelines. [WWW]. [Viitattu 2.3.2014]. Saatavissa: http://www.pentest-standard.org/index.php/PTES_Technical_Guidelines

Puhakka, J. 2012. Penetraatiotestaus osana tietoturvan toteutusta. Opinnäytetyö. Jyväskylän ammattikorkeakoulu. 122 s. Saatavissa: http://www.theseus.fi/bitstream/handle/10024/52733/Opinnayte_Jarkko_Puhakka.pdf?sequence=1

Tietotekniikan termitalkoot, 2004-12-03 [WWW]. [Viitattu 10.1.2014]. Saatavissa: http://www.tsk.fi/tsk/termitalkoot/fi/haku-266.html (hakusana: hakkeri)

Tietoturva ry. 2013. Twitter-uutinen. [WWW]. [Viitattu 2.3.2014]. Saatavissa: https://twitter.com/tietoturva_ry/status/382025142378835969

TTY 2012. Tietoturvan aineopinnot, 25 op. [WWW]. [Viitattu 12.3.2014]. Saatavissa: http://www.tut.fi/fi/tietoa-yliopistosta/laitokset/pori/opetus/di-opetus/tietotekniikka/tietoliikennetekniikka/tietoturva/index.htm

SivuTiedotLaajennettu edit

Vaativuus Jatko
Valmius Valmis
Tyyppi Ydin
Luokitus Hallinto
Mitä Useita
Miltä Useita
Missä Useita
Kuka Titu-ammattilainen
Milloin Ennakolta
Miksi Hyvä tapa
Print version |  PDF  | History: r1 | 
Topic revision: r1 - 12 Mar 2014 - 18:46:58 - KariHelenius?
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback