Koe uusi yle.fi

Kasvokkain: Mikä valvottaa tietoturvaguru Harri Hurstia öisin? "Yleisvaarallinen laite, joka voi tuhota elämäsi"

Tietoturva-asiantuntija Harri Hurstin mielestä älypuhelinten tietoturva on retuperällä. Hursti puhui tänäkin vuonna Slushissa tietoturvan uusista virtauksista.

tietoturva
Harri Hursti
Harri Hursti Jari Kovalainen / Yle

Kansainvälisesti arvostettu tietoturvakonsultti Harri Hursti saapuu haastatteluun 38 valvotun tunnin jälkeen kahvi kourassa.

Suora lento New Yorkista Helsinkiin vaihtui koukkaukseen Berliinin kautta, ja unet jäivät jälleen olemattomiin.

Hursti hymähtää jetlagin eli aikaerorasituksen olevan hänelle pysyvä tila. Toipuminen Aasian työmatkasta oli vielä kesken, kun piti suunnata puhumaan Helsingin Slush-tapahtumaan.

Useaa it-yritystä pyörittävälle Hurstille kertyy tänä vuonna 200 000 lentomailia.

Harri Hursti on huolissaan erityisesti matkapuhelinten tietoturvasta, koska ihmisten koko elämä on nykyään älykännykässä. Jälki on rumaa, jos rikollliset pääsevät hakkeroimaan puhelimen.

– On verkkopankit, etämaksut ja kaikki henkilökohtaiset tiedot. Myös sähköpostisi, jolla eri salasanasi nollataan, on kytketty puhelimeen. Menetät hyvin nopeasti koko elämäsi, jos menetät puhelimesi. Matkapuhelin on yleisvaarallinen laite, joka voi tuhota koko sinun elämäsi. Kun se tapahtuu sähköisesti, et edes tiedä, että olet uhri, hän sanoo.

Hurstin mukaan nimenomaan matkapuhelimiin liittyvä verkkorikollisuus ja identiteettivarkaudet kasvavat kohisten tulevaisuudessa.

– On monia tapoja varastaa sinulta rahaa. Puhelin on ihana, koska se on avain kaikkiin tapoihin lypsää sinulta rahaa, Hursti toteaa sarkastisesti.

Haastattelun aikana ehti kylmetä toinenkin kuppi kahvia, sen verran intohimolla Harri Hursti suhtautuu työhönsä.

Sähköiset palvelut on suojattu useimmiten ssl/tls-protokollalla (s http:n perässä). Tuudittautuvatko ihmiset liikaa tietoliikenteen salauksen antamaan suojaan?

– Langattomien verkkojen turvallisuus on mitä on. Kun matkapuhelin saa nettiyhteyden, se tarkastaa automaattisesti sähköpostit ja Facebook-viestit, ja tähän kättelyyn voi päästä kiinni. On monia tekniikoita, joiden avulla ssl:n tai tls:n voi poistaa yhteydestä. Luulet, että keskustelet pankin kanssa, mutta keskusteletkin rikollisen kontrolloiman laitteen kanssa, joka keskustelee pankin kanssa, Hursti kuvailee.

Harri Hursti
Jari Kovalainen / Yle

Hän kertoo, ettei rikollinen tarvitse enää erityisosaamista vaan tekniikan ja palvelut voi ostaa nykyään toisilta rikollisilta valmiina pakettina: haittaohjelmat räätälöidään kohteen mukaan ja maksukin hoituu kätevästi varastetulla luottokortilla.

– Rikolliset voivat tehdä sen jopa ilmaiseksi. He panevat mukaan oman haittaohjelmansa, ja sanovat, että levitä tätä pankkivarkausohjelmaa, ja meidän oma mörökölli menee siinä mukana. Se aktivoidaan vasta 90 päivän päästä eli sinä saat ensin puhdistaa pankin ja me myymme sitten jälkimarkkinoilla ne uhrit, Hursti valottaa rikollisten toimintatapoja.

Rikolliset varastavat identiteettisi ja avaavat tilejä tai tekevät vakuutuskorvaushakemuksia nimissäsi – matkapuhelimesta tai tietokoneelta anastetuilla tiedoilla kiristetään sinulta rahaa – kaapattu matkapuhelin lähettää maksullisia tekstiviestejä laskuusi.

Tietoturvaguru luettelee lukemattomia keinoja, joilla rikolliset voivat viedä uhriltaan rahaa tai käyttää hyväksi anastettuja tietoja. Osa esimerkeistä nostaa karvat pystyyn. Jos olet onnekas vain rahasi ja tietosi varastetaan.

Harri Hursti
Jari Kovalainen / Yle

– Motiivina voi olla vaikka kosto. Mitä jos puhelimeesi on laitettu sinun tietämättäsi lapsipornoa? Se on vahva syyte ja niin tunteellinen asia, että siinä vaiheessa ystävät katoavat ja on vaikea löytää juristia. On äärimmäisen helppoa laittaa puhelimeen lapsipornoa. Se on elämän loppu, kun sinua siitä syytetään, Hursti toteaa.

Millä tasolla sähköisten palvelujen tietoturva on mielestäsi?

– Joka kerta kun otat luottokortin lompakostasi, on mahdollista, että juuri siinä kohdassa se kopioidaan. Tavallisella ihmisellä ei ole mitään mahdollisuutta suojautua verkkorikollisia vastaan. Monesti oletetaan, että kortin kopionti on liittynyt huolimattomuuteen tai olet ollut baarissa ja pin-koodisi on katsottu. Se ei ole enää todellisuutta. Vaikka tekisit kaiken oikein, korttitietosi voidaan silti viedä, Hursti painottaa.

Tietoturvan ammattilainenkaan ei ole turvassa. Hursti paljastaa, että hänen korttitietonsa on kopioitu viisi kertaa neljän kuukauden sisään. Viimeisellä kerralla hän ehti nostaa uudella kortilla käteistä automaatista ja maksaa pihvin, kun kortin tiedot lähtivät taas rikollisten matkaan.

Ihmiset luulevat, että ongelmat ovat ohi, kun luottokortti on suljettu. Hurstin mukaan varastetut tiedot myydään useaan kertaan aina halvempaan hintaan eri rikollistahoille, jotka käyttävät niitä erityyppisiin rikoksiin. Tiedon jälleenmyynnin kerrannaisvaikutukset paljastuvat uhrille vasta puolen vuoden päästä kortin kuolettamisesta.

Hurstin kertomuksen edessä alkaa tuntea itsensä voimattomaksi.

Harri Hursti
Jari Kovalainen / Yle

Miten matkapuhelimen tai luottokortin käyttäjä voi sitten suojata itsensä verkossa väijyviltä rikollisilta? Onko matkapuhelimen tietoturvaohjelmasta apua?

– Jos ei ole näkemystä tietoturvasta, niin silloin on parempi ottaa puhelimeen virustorjuntaohjelmisto. Myös puhelimen vpn-tunnelointi (kahden eri järjestelmän laitteen väliin rakennettu salaus) voi auttaa vähän, mutta ei auta kaikkeen, Hursti pohtii.

– Palomuurin kehittäjä, ystäväni Bill Cheswick sanoo, että olemme alastonuinnilla internetissä. Vaikka pitää olla huolellinen, pitää myöskin ymmärtää, että et voi tehdä kaikkea. Emme ymmärrä, miten tärkeää on rakentaa elämässään sisäisiä palomuureja, jotta asiat olisivat turvassa. Pahoja asioita tulee todennäköisesti tapahtumaan. Miten rajoittaa silloin tuhot?

Mahdollisten vahinkojen minimoimiseksi Hursti on esimerkiksi estänyt verkkopankin käytön harvoin käytetyiltä säästötileiltään.

Kasvokkain on juttusarja, jossa esitellään joka lauantai ajankohtaiseen teemaan liittyvä ihminen. Harri Hursti on ollut mukana tällä viikolla järjestetyssä kasvuyritys- ja sijoittajatapahtuma Slushin toiminnassa alusta lähtien.