Hyvät hakkerit pitävät pahat loitolla

Valkohattuhakkerit auttoivat etsimään haavoittuvuuksia Puolustusvoimien järjestelmistä ensimmäisessä bug bounty -ohjelmassa.

Puolustusvoimilla on huomattava määrä arkaluontoista tietoa erilaisissa tietojärjestelmissä. Järjestelmissä on aina haavoittuvaisuuksia, joita esimerkiksi vieraan vallan edustajat pyrkivät etsimään.

Järjestelmäkehittämisen normaalin testaustoiminnan ohella Puolustusvoimat aloitti ensimmäisen kerran haavoittuvuuksien metsästysohjelman. Bug bounty -ohjelman avulla Puolustusvoimat haluaa löytää mahdolliset haavoittuvuudet etukäteen ajoissa, jotta niitä ei pystyttäisi myöhemmin käyttämään vahingollisella tavalla.

Ohjelmaan osallistuneille henkilöille annettiin mahdollisuus tunkeutua Puolustusvoimien tietojärjestelmiin. Mahdolliset haavoittuvuudet raportoitiin, ja aukon löytäjä palkittiin eri tavoin löydöksen arvon mukaan.

– Bug bountyt perustuvat siihen, että organisaatiot päästävät tietojärjestelmiinsä tällaisia hyväntahtoisia hakkereita, joita kutsutaan valkohattuhakkereiksi, Pääesikunnan johtamisjärjestelmäosaston osahankepäällikkö Joonas Hirn kuvailee.

Ohjelman kohteina oli kolme Puolustusvoimien tietojärjestelmää, jotka ovat saavutettavissa julkisen internetin kautta. Suurin näistä oli asiointipalvelu, jossa asevelvolliset voivat hoitaa henkilökohtaisia asioitaan Puolustusvoimien kanssa. Kohteena oli myös kaksi Maanpuolustuskorkeakoulun palvelua.

Valkohattuhakkereilla oli vapaat kädet hakea järjestelmistä aukkoja huhti-toukokuun aikana. Loppujen lopuksi raportoitiin yhteensä yhdeksän tietoturvapuutetta, jotka olivat vakavuudeltaan vaihtelevia.

Kaikki haavoittuvuudet koskivat yhtä kaupallista kumppania, jota esimerkiksi Maanpuolustuskorkeakoulu käyttää palveluissaan.

Löydökset otetaan huomioon ohjelmistojen kehittämisessä. Huolet on myös välitetty yhteistyökumppanille tiedoksi, jotta se saisi korjattua oman tuotteensa turvalliseksi.

– Eli se työ, mitä on tehty tässä ohjelmassa, auttaa myös kaikkia kaupallisen tuotteen käyttäjiä, Hirn kertoo.

Turvallisuus edellä

Aluksi voi tuntua kehnolle ajatukselle kehottaa hakkereita murtautumaan tietojärjestelmiin. Hirn kuitenkin vakuuttaa, että ohjelmaan ei liity riskiä.

– Samalla lailla järjestelmät ovat koko ajan avoinna verkkoon.

Hakkereille ei annettu ylimääräisiä työkaluja. Heille ei tarjottu pääsyä mihinkään sellaiseen, mihin tavallisella kansalaisella ei olisi pääsyä.

– Halusimme että järjestelmät olisivat verkossa avoimia, jotta hakkereiden olisi mahdollisimman helppo lähteä mukaan tähän ohjelmaan, Hirn lisää.

Hirn huomauttaa, että kaikilla ohjelmaan osallistuneilla hyvillä hakkereilla piti olla Puolustusvoimien turvallisuusselvitys suoritettuna.

Bug bounty -pilotin tulokset olivat lupaavia. Toiveena on, että jatkossa vastaava toiminta saisi jatkoa. Mitä isommalla joukolla haavoittuvuuksia etsitään, sitä parempia tuloksia saadaan.

– Hyvä että houkutellaan valkohattuiset hakkerit paikalle, jotta pahantahtoiset hakkerit eivät pääse nauttimaan heikkouksista, Hirn painottaa.

Uusia näkökulmia

Haavoittuvuuksia oli etsimässä kybervarusmiehiä, reserviläisiä sekä Puolustusvoimien ja valtionhallinnon työntekijöitä.

– Ohjelma oli ainutlaatuinen tilaisuus hyödyntää reserviläisten osaamista, Hirn huomauttaa.
Koska havaituista haavoittuvuuksista annettiin palkkio, mukaan lähti pätevä joukko ict-alan osaajia.

– Järjestelmien kehitysvaiheessa ei ole mahdollista löytää kaikkia riskejä. Siksi tämä tuotannossa tapahtuva testaus on erinomainen lisä, kun erilaiset asiantuntijat kartoittavat järjestelmiä tuorein silmin.

Bug bounty -ohjelmilla ei pystytä korvaamaan perinteistä testaamista, mikä kuuluu kaikenlaisten tietojärjestelmän kehittämiseen. Tällaiset haavoittuvuuspalkkio-ohjelmat tarjoavat kuitenkin lisäarvoa normaalin perinteisen ohjelmistokehityksen rinnalle.

Kalastusta kuivalla maalla

Kymmenen vuotta tietoturvatestausta tehnyt valkohattuhakkeri Jarmo Puttonen kiinnostui heti, kun hän kuuli Puolustusvoimien bug bounty -ohjelmasta.

– Tämä herätti minussa maanpuolustustahtoa, kun pääsin etsimään heikkouksia Puolustusvoimien järjestelmistä. Ei ainakaan muut valtiot pääse niitä kaivelemaan, Puttonen lisää.
Puttonen vertaa hakkerointia kalastukseen. Kalastajalla on onki, haavi ja vene. Sitten löytyy sopiva vesistö, jonne lähdetään pyytämään. Välillä pitää vaihtaa paikkaa, ja sitten taas odotellaan.

– Ammattikalastaja tietää tasan tarkalleen, mihin kohtaan onki kannattaa laskea, Puttonen tarkentaa.

Mahdollinen palvelimen lähdekoodin tai nettisivujen ohjelmoinnin silmäily antaa osviittaa, mistä haavoittuvuuksia voi löytää. Kun kalastuspaikka on päätetty, yritetään käyttää hyväksi ohjelman heikkouksia. Apuna voidaan käyttää erilaisia työkaluja, joilla voidaan automatisoida tehtäviä ja suorittaa aktiivista testausta.

Tietojärjestelmien sisällä voi olla erillisiä ohjelmia, jotka toimivat hieman väärin. Niiden yhteissumma voi kuitenkin olla tosi väärin toimiva ohjelma. Hakkeri etsii tällaisia summia.

– Välillä hakkerointi on kuin palapelin kokoamista, ilman että tietää minkälainen palapeli pitäisi valmistua. Usein lopullisen haavoittuvuuden näkee vasta kun kaikki palaset on kasassa.

Lopulta tarkoitus on mahdollisimman luovasti keksiä tapoja kiertää ohjelmistokehittäjän asettamat raamit.

– Kaikin puolin bug bounty oli mielenkiintoinen ja hyvin järjestetty. Odotan seuraavaa kalenteri avattuna, Puttonen sanoo.