Hakkeroinnin historiaa
Hacking on terminä tuhansia vuosia vanha ja sillä tarkoitetaan jonkin läpi leikkaamista rajusti ja väkivaltaisesti, eikä sitä luonnollisesti yhdistetty teknologiaan, koska teknologiaa ei ollut. Erään lähteen mukaan termiä hakkerointi on myös käytetty pienoisjunaharrastajien keskuudessa, ennen tietokoneita.
Nykypäivän hakkerointi sai kuitenkin alkunsa 1950-luvulta, jolloin senaikaiset teknologianikkarit tutkivat ja leikkivät televiestintäinfrastruktuurilla, eli lankapuhelimilla. Silloinen tunnettu temppu oli, että viheltäen maksulliseen lankapuhelimeen kykeni huijaamaan kyseistä järjestelmää siten, että pystyi soittamaan ilmaiseksi. Tätä aihealuetta kutsuttiin Phone Phreakingiksi ja henkilöt, jotka tätä tekivät olivat Phreakereitä.
Teknologia kehittyi ja tietokoneet sekä tietoverkot alkoivat siirtyä yleiseen käyttöön. Samalla tavalla Phone Phreaking -kulttuuri siirtyi tietokoneisiin ja tietoverkkoihin. On hyvä ymmärtää, ettei tuolloin ollut lakeja eikä ymmärrystä siitä, että tätä voisi käyttää pahaan. Samalla tavalla, kyseiset harrastajat eivät olleet niin sanotusti haittanäkökulmalla liikkeellä. Kyseessä oli vain joukko ihmisiä, joissa eli suuri kiinnostus aihealueeseen ja siihen, mitä tällä uudella sekä alati kehittyvällä teknologialla kykeni tekemään.
Muutamaa poikkeusta lukuunottamatta, hakkerointi rahan tai haitan motivoimana kasvoi uusiin mittakaavoihin vasta kun yritykset keksivät, että Internettiä voi käyttää yritystoimintaan ja Internet-kauppaamisesta tuli suuri bisnes. Näin syntyi myös tarve suojata asiakkaiden sekä järjestelmien tietoja. Siitä eteenpäin koko hakkerointi-aihealue on ollut kissa-hiiri-leikkiä, jossa hyökkääjät keksivät uusia tapoja murtautua järjestelmiin ja puolustavat henkilöt yrittävät paikata sekä keksiä uusia tapoja puolustaa järjestelmiä.
Tähän väliin hyppää konsepti eettisestä hakkerista.
Mikä on valkohattuhakkeri?
Eettinen hakkeri, valkohattuhakkeri, viittaa henkilöön joka osaa murtautua tietojärjestelmiin; aivan kuten tietokonerikollinenkin. Rötöstelyn sijasta valkohattuhakkeri kuitenkin auttaa esimerkiksi yrityksiä löytämään haavoittuvuuksia ennen kuin rikolliset löytävät ne.
Kokenut tekijä osaa lisäksi neuvoa yritystä siinä, miten esimerkiksi tietojärjestelmien, ihmisten, rakennusten ja prosessien turvallisuutta voidaan parantaa, jotta rikollisten työ voitaisiin tehdä vaikeammaksi. Tämä on tärkeää, koska turvallisuus ei tarkoita sitä, että sovelluksessa ei olisi haavoittuvuuksia. Turvallisuus tarkoittaa enemmänkin sitä, että vaikka sovelluksessa olisi haavoittuvuus, siitä ei aiheudu pahaa vahinkoa ennen kuin hyökkäys voidaan havaita ja torjua.
Mistä valkohattuhakkerit ansaitsevat elantonsa?
Tietoturva on nykyisin pinnalla lähes kaikkien yritysten arjessa ja Suomesta löytyy laaja kirjo erilaisia tietoturva-ammatteja, kuten tekniset tietoturvakonsultit, jotka tekevät esimerkiksi tietojärjestelmien murtotestauksia.
Työpaikkojen lisäksi monella yrityksellä on olemassa niin kutsuttuja bug bounty -ohjelmia, jossa yritys antaa luvan (joko kenelle tahansa tai erikseen kutsutuille hakkereille) etsiä haavoittuvuuksia vaikkapa omalta nettisivultaan ja palkitsee sitten löydökset.
Bug bounty -ohjelmat
Bug bounty -ohjelmilla tarkoitetaan sitä, kun yritys antaa luvan yksityisille tietoturva-ammattilaisille etsiä haavoittuvuuksia yrityksen järjestelmistä. Tyypillisesti yritys määrittää, että mitä, mihin ja miten saa testata, jonka mukaan yksityiset ammattilaiset etsivät näitä haavoittuvuuksia, tai toisin sanoen "bugeja". Monesti löytyneestä haavoittuvuudesta annetaan myös rahallinen palkkio. Maailmasta löytyykin ihmisiä, jotka elättävät itsensä tekemällä pelkästään näitä ohjelmia, sillä usein vakavista haavoittuvuuksista voidaan maksaa suuriakin palkkioita.
Bug bounty -alustat, kuten HackerOne tai Intigriti ovat alustoja, joissa löytyy kootusti näitä ohjelmia ja kaikki kommunikointi kyseisen yrityksen kanssa tapahtuu alustalla.
On hyvä kuitenkin muistaa, että tietoturvatestaaminen ja bug bounty -ohjelmat eroavat toisistaan hieman. Bug bounty -ohjelmat harvoin maksavat mistään, millä ei ole suoraa vaikutusta heidän toimintaansa. Tämä tarkoittaa, että näistä järjestelmistä jätetään merkittäviäkin kovennuspuutteita, sekä pienempiä haavoittuvuuksia huomioimatta, kun taas tietoturvatestaamisessa on ajatuksena löytää mahdollisimman paljon haavoittuvuuksia, mutta myös etsiä parannuskohteita. Tietoturvatestaamisessa halutaan varmistua siitä, että vaikka haavoittuvuus löytyisikin, tästä aiheutunut haitta saadaan minimoitua.
Valmis ryhtymään eettiseksi hakkeriksi?
Aloita jo tänään.
Hakatemian jäsenenä saat rajoittamattoman pääsyn Hakatemian moduuleihin, harjoituksiin ja työkaluihin, sekä pääset discord-kanavalle jossa voit pyytää apua sekä ohjaajilta että muilta Hakatemian jäseniltä.