Tietoturva-ammattilainen ja hyvishakkeri Laura Kankaala on nähnyt somessa arkaluontoista tietoa laidasta laitaan. Tarkkoja matkavaraustietoja, henkilötunnuksia ja kuvia, joissa näkyy kotitalo tunnistettavana.

Itse hän on sen verran foliohattu, ettei halua paljastaa edes ikäänsä.

– Kirjoita vaikka, että olen alle 30v. tms?

Alle kolmekymppinen Kankaala on opetellut murtautumaan tietojärjestelmiin, jotta voi auttaa asiakkaitaan suojautumaan pahantahtoisilta hakkereilta. Tällaisia yritysten apuna toimivia tietoturva-aukkojen ja järjestelmäbugien paljastajia kutsutaan hyvishakkereiksi tai eettisiksi hakkereiksi.

Kankaala on ollut aina varovainen verkossa. Ja kiinnostunut siitä, mitä tietoa hänestä on saatavilla. Toki hän on aktiivinen Twitterissä ja Instagramissa, mutta tarkan ikänsä, kotiosoitteensa ja luottokorttinsa numeron hän pitää visusti salassa.

Lisäksi hänellä on useita sähköpostiosoitteita, eri tarkoituksiin:

– Minulla on yksi salainen sähköpostiosoite, jota käytän vain parin tosi kriittisen sähköpostitilin ja sometilin palauttamiseen ongelmatilanteissa. Sitä osoitetta en käytä mihinkään muuhun tarkoitukseen.

Duuniasioiden hoitamiseen hänellä on useampikin julkinen osoite, ja sitten on erikseen yksi spämmille omistettu sähköposti, jota hän käyttää silloin, kun hänen on esimerkiksi lehtiartikkelin lukeakseen ilmoitettava joku sähköpostiosoite.

Minulla on spämmille omistettu sähköpostiosoite erikseen.― Tietoturva-asiantuntija Laura Kankaala

Kaikkiin osoitteisiin tulee satunnaisesti roskapostia, mutta spämmiosoitteeseen ylivoimaisesti eniten, kertoo Kankaala, joka suosittelee useamman postipalvelun käyttöä kaikille.

– Kunhan et sitten ikinä milloinkaan käytä samaa salasanaa useissa eri posteissa, hän teroittaa.

Artikkelin lopussa lisää hyvishakkerin tietoturvavinkkejä!

Hakkerinvaistot heräsivät sairaalassa

Ennen it-alalle lähtöä Laura Kankaala opiskeli vuoden verran sairaanhoitoa.

Ensimmäisessä sairaalaharjoittelussa Kankaala tutustui potilaskirjausjärjestelmään ja heräsi ajattelemaan potilaiden tietoturvaa. Hän tajusi, miten paljon arkaluontoista tietoa säilötään koneilla, jotka saattavat sijaita hyvinkin avoimissa toimistotiloissa.

– Ihmettelin, että onpa paljon luottamusta laitteisiin, ohjelmiin ja ihmisiin! Entä jos joku hakkeroi itsensä koneelle ja käyttää tietoja vahingoittaakseen potilaita? Entä jos tulee sähkökatko tai palvelunestohyökkäys, joka lamauttaa sairaalan toiminnan?

Hyvishakkerivaistot olivat alkaneet heräillä, ja jo ensimmäisen opiskeluvuoden aikana Laura Kankaala koki valaistumisen: hoitotyö ei ole minun juttuni. Sairaanhoito vaihtui tietojenkäsittelyopintoihin Turun ammattikorkeakoulussa.

Mitä pahis tekisi?

Opiskelujen alkuvaiheessa järjestettiin hakkeroinnin introkurssi, joka avasi näköalan valkohattujen maailmaan. Tässä vaiheessa Kankaalan mielikuvat hakkereista olivat vielä kuin Hollywoodista. Hupparikundit istuvat pimeässä, koodia viuhuu tietokoneen näytöllä, ja kohta jo hillutaan Pentagonissa.

Introkurssilla Laura Kankaala tajusi, että tietomurtoja voi tehdä myös hyvisten joukoissa.

– Mietin silloin, minkälaista olisi oikeesti tehdä duunia "hakkerina". Onko se edes mahdollista? Mitä se pitäisi sisällään? Olisiko musta siihen? Mutta toki se kuulosti siistiltä.

Ratkaisuja haavoittuvuuteen, ilman hakkerikliseitä

Näin vuosien jälkeen mystiikka hakkeroinnin ympäriltä on kadonnut. Kankaala on oppinut, että työ vaatii hyviä istumalihaksia ja kärsivällisyyttä. Hyvishakkeri hakkeroi, jotta järjestelmistä saadaan parempia.

Tehtävänä on etsiä porsaanreikiä ja haavoittuvuuksia, joista pahishakkerin olisi mahdollista päästä tihutöihin. Joskus ongelman voi paikata, joskus taas riittää, että kertoo asiakkaalle, missä ongelma on, ja miten sen voi korjata.

Laura Kankaala työkavereineen ei istu pimeässä eikä myöskään lipitä loputtomasti energiajuomia. Eikä käytä Anonymous-aktivistiliikkeen tutuksi tekemää Guy Fawkes -naamaria.

– Me käydään välillä joogaamassa, ja sitten otetaan kauralattea, hän nauraa.

Koodia saa toki tuijotella tuntikausia. Se hakkeriklisee on totta.

Hakkerointiin tutustuminen on saanut Laura Kankaalan ymmärtämään, miten monet asiat ovat haavoittuvia, olivat ne sitten ohjelmistoja, tai ihmisiä netissä. Hän tunnustaa, että on itsekin kerran vahingossa lipsauttanut vähän liian henkilökohtaisen tiedon someen.

– Onneksi ystävä otti salamannopeasti yhteyttä, että mitä ihmettä sä oot oikein mennyt tekemään. Näin toimii tosiystävä, huokaa Kankaala.

Haavoittuvuuteen on keksittävissä ratkaisuja, eikä tarvitse olla edes alan asiantuntija tehdäkseen tietoturvallisempaa maailmaa. – Jokainen voi suuresti vaikuttaa riskien syntymiseen omalla toiminnallaan.

Laura Kankaala on ottanut tehtäväkseen avata mystiikan verhoa internetin ympäriltä. Hän haluaa tuoda yleiseen tietoisuuteen sen, mitä meidän tiedoillemme tapahtuu, kun selailemme verkkosivuja. Hänestä on tärkeää, että aivan jokainen ymmärtäisi edes perusteet siitä, miten data liikkuu ja mitä sillä tehdään.

Vakoileeko puhelimesi sinua? Mitä jakamasi valokuva paljastaa sinusta? Katsottuasi alla olevan 9-minuuttisen selitysvideon ymmärrät netin toimintaa paremmin.

Hyvishakkeri Laura Kankaalan viisi vinkkiä omien tietojen parempaan suojaamiseen:

1: Katso kuvaasi kuin rikollinen ennen kuin julkaiset sen

Tyypillinen moka on ensin julkaista vapautuneesti tietoja ja kuvia omasta kodistaan, ja sitten väläyttää lentolippua, josta paljastuu, että koti on tyhjänä kaksi viikkoa. Tervetuloa, murtovarkaat!

– Olen nähnyt arkaluontoisia kuvia somessa laidasta laitaan. Duunipaikan kulkukortista on postattu kuvia, samoin lentolipuista varausnumeroineen.

Et ehkä ole tullut ajatelleeksi, että jos julkaiset kotiavaimestasi kuvan, jossa avaimen hampaat näkyvät selvästi, saatat auttaa rikollista murtopuuhissa.

2: Suhtaudu varauksella “suljettuihin” keskusteluihin

Aina, kun laitat jotakin someen tai nettiin, kannattaa ajatella, että se jää sinne ikuisiksi ajoiksi etkä voi tietää, mihin se päätyy.

– Kuvittelet ehkä, että salaisessa ja suljetussa ryhmässä voit avautua vapautuneesti. Totuus kuitenkin on, että yksityistä ei ole.

Kaiken voi ruutukaappauksella poimia talteen ja levittää. Jopa kaverit voivat antaa tietojasi eteenpäin.

Netissä on myös "crawlereita", jotka tutkivat verkkosivuja. Web crawler voi olla yksittäisen ihmisen tai organisaation palveluksessa työskentelevä väsymätön botti, joka haravoi internetiä keräten tietoa arkistoihinsa.

Automatisoitu botti tallentaa aineistoa uuteen paikkaan, pois alkuperäisestä sijainnista, vähän samaan tapaan kuin me silloin, kun otamme ruutukaappauksen tai tallennamme esimerkiksi ystävän kuvan Instagramista omalle koneellemme.

Yksi esimerkki internetsisällön keruusta on verkkosivuja arkistoiva Internet Archive, jonka Waybackmachine-palvelussa voi käydä katsomassa vanhentuneita ja poistettuja verkkosivuja. Voit kurkata esimerkiksi, miltä Ylen etusivu näytti huhtikuussa 1997.

3: Luo oma käyttäjätunnus jokaiseen palveluun

Vaikka kirjautuminen erilaisiin appeihin ja palveluihin Facebookin tai Googlen tunnuksilla tuntuisi houkuttelevan helpolta, malta nähdä vaivaa ja luo uusia tunnuksia.

– Parempi olisi pitää jokaisessa palvelussa eri tunnukset ja salasanat, sillä jos joku näistä palveluista hakkeroidaan, hakkeroinnin vaikutukset rajoittuvat tunnuksien osalta ainoastaan kyseiseen palveluun.

Jos käytät esimerkiksi Facebookin tunnuksia kirjautuessasi muihinkin palveluihin, kuten vaikka Tinderiin ja Uberiin, hakkeri pääsee yksillä tunnuksilla kaikkiin niihin.

On myös hyvä muistaa, että datan keräys on monille isoille internetin yrityksille osa niiden bisnestä.

Internetin jättiläiset haistelevat tietojamme kaikista niistä palveluista, joihin olemme kirjautuneet niiden tunnuksilla.

4: Ota käyttöön salasanamanageri

Käyttäjätunnuksia ja salasanoja kertyy ihan älyttömiä määriä, joten kannattaa etsiä itselle sopiva salasanaohjelma.

– Minulla on salasanamanageri, johon tallennan kaikki käyttäjätunnukset ja salasanat. Ohjelma poistaa sen taakan, että tarvitsisin monta salasanaa.

Mitä enemmän salasanoja joutuu itse keksimään, sitä todennäköisemmin osa niistä on tietoturvan kannalta heikkoja.

Yle Oppimisen Digitreeneistä löytyy ohje aiheesta.

5: Harjoita tervettä epäileväisyyttä

Kaikki somealustat ovat voimakkaita mielipidevaikuttajia. On syytä suhtautua niihin kriittisesti ja pohtia niiden olemassaolon perusteita. Kuka palvelun on luonut? Missä, kenelle ja mihin tarkoitukseen? Mitä tietoja sinusta kerätään?

– Ihan viattoman näköiseen hauskaan meemiinkin sisältyy aina viesti. On joku syy, että se näytetään juuri sinulle. Yritetäänkö sinut saada ostamaan jotakin? Seuraamaan jotakuta, tai vihaamaan?

Internetin jättiläiset, kuten Facebook, Google ja Instagram, keräävät sinusta tietoa oppiakseen tuntemaan sinut. Ne haluavat koukuttaa sinut uskolliseksi käyttäjäksi, koska niiden ansaintalogiikka perustuu siihen, että sinä pysyt palvelussa ja poistuttuasi varmasti palaat takaisin.

– Meistä kaikista kerätään tietoa, kuten mistä me tykkäämme ja mitä ostamme. Saatujen tietojen perusteella meille tarjotaan lisää sitä samaa.

Samalla meille aletaan tarjoilla yhä kärjistetympiä mielikuvia maailmasta ja ihanteista. On sinun tehtäväsi pysyä hereillä netissä, sillä sinuun yritetään vaikuttaa.

– Niillä yrityksillä, joilla on tietoa meistä, on valtaa ja rahaa erittäin paljon. Kun ne oppivat valjastamaan keräämänsä tiedon käyttöönsä, ne pystyvät kehittämään entistä koukuttavampia palveluita.

Laura Kankaala on toiminut tietoturvakonsulttina KPMG:llä ja F-Securella sekä tutkijana Detectify:ssa. Huhtikuussa 2020 hän aloitti security leadina Robocorpissa. Laura on yksi kolmesta ammattihakkerista Ylen dokumenttisarjassa Team Whack - kaikki on hakkeroitavissa. Sarjan kaikki jaksot löytyvät Yle Areenasta.